gpt4 book ai didi

azure - Azure 服务主体创建应用程序需要什么角色或范围

转载 作者:行者123 更新时间:2023-12-02 05:51:17 32 4
gpt4 key购买 nike

我当前使用 Azure CLI 创建服务主体:

az ad sp create-for-rbac --name foo --role Contributor

我需要服务主体拥有足够的权限来创建/修改/删除各种 Azure AD 资源,包括应用程序、其他服务主体和服务主体密码。当我使用上述服务主体创建其他服务主体时,我当前收到 403 Forbidden 错误。

我还尝试使用“所有者”和“用户访问管理员”角色,但仍然出现 403 错误。我需要向上述 Azure CLI 命令添加什么,或者需要添加哪些其他角色分配?

我想将 Pulumi 程序中的服务主体与其 Azure AD 提供商(基于 Terraform 的 Azure AD 提供商)一起使用。请参阅:

https://github.com/pulumi/pulumi-azuread/issues/246

最佳答案

为了使服务主体能够管理应用程序,它需要 API 权限。不存在范围之类的东西,因为 API 权限是针对 Azure AD API 的。范围仅在与资源管理器 API 相关时适用。这些不是同一件事。

当您转到 Azure AD 中的应用程序注册时,您可以找到该应用程序,您也可以在此处分配 API 权限并授予同意。您将在 Azure Active Directory Graph 或 Microsoft Graph 上执行此操作。根据我的经验,只有使用 Azure Active Directory Graph 分配的权限才有效。

Application.ReadWrite.All应用读取和写入所有应用程序

Application.ReadWrite.OwnedBy应用管理此应用创建或拥有的应用

您将找到您可以使用的这两个应用程序权限。您可以使用第一个管理所有应用程序。

您正在使用的 az cli 命令用于创建角色分配。这是订阅上的 RBAC,除了服务主体是 AAD 资源之外,它与 Azure AD 无关。

关于azure - Azure 服务主体创建应用程序需要什么角色或范围,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/71079517/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com