我有两个订阅。
在一个订阅中,我运行逻辑应用程序,而在逻辑应用程序上,我拥有 azure 功能。
另一个订阅包含通过逻辑应用程序和 azure 函数实现自动化的目标资源。
为了运行与其关联的逻辑应用程序和 Azure 功能,我需要对目标订阅具有哪些权限?我希望能够执行诸如停止 VM、更改 NSG 设置、运行恶意软件扫描等操作
我是否需要使用对两个订阅都具有所有者权限的帐户运行逻辑应用?
问候, 凯利
最好使用服务主体来进行集中访问控制。
有了这个,您可以使用服务主体对资源进行身份验证和授权操作。也可以为逻辑应用程序中的Azure 资源管理器连接器配置它。
另一种选择是使用Managed Identity,但仅支持 HTTP 操作。
即使在您的函数应用程序中,您也可以使用服务主体详细信息设置托管身份或使用客户端凭据流。
至于此服务主体的确切权限,您可以使用此内置角色参考来提供精细控制。例如,要停止/启动 VM,您的服务主体将需要Virtual Machine Contributor。
您还可以通过创建自定义角色来提供对资源的更精细访问。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句