Uso de una entidad de servicio

  • Artículo

Se puede usar una entidad de servicio de Azure AD para permitir que Azure CycleCloud administre clústeres de la suscripción (como alternativa al uso de una identidad administrada).

Elección entre una entidad de servicio y una identidad administrada

Si CycleCloud solo administrará clústeres en una sola suscripción, considere la posibilidad de usar una identidad administrada en lugar de una entidad de servicio.

Sin embargo, dado que CycleCloud solo puede usar una única identidad administrada, se requiere el uso de entidades de servicio al administrar clústeres en varias suscripciones o inquilinos.

Creación de una entidad de servicio

Azure CycleCloud requiere una entidad de servicio con derechos para administrar la suscripción de Azure. Si no tiene una entidad de servicio disponible, puede crear una mediante la CLI de Azure, como se muestra a continuación.

Nota

El nombre de la entidad de seguridad de servicio debe ser único. En el ejemplo siguiente, CycleCloudApp debe reemplazarse por un nombre único. Si ejecuta el comando siguiente con un nombre existente, reemplaza e invalida la entidad de servicio existente.

az ad sp create-for-rbac --name CycleCloudApp --years 1

La salida mostrará una serie de información. Tendrá que guardar , appIdpasswordy tenant:

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Permisos

La opción más sencilla (con derechos de acceso suficientes) es asignar el rol de colaborador para la suscripción a la nueva entidad de servicio cycleCloud. Sin embargo, el rol colaborador tiene un nivel de privilegio mayor que CycleCloud. Se puede crear y asignar un rol personalizado a la máquina virtual.

La Guía de identidad administrada tiene detalles sobre cómo crear un rol de AD con privilegios inferiores adecuados para la entidad de servicio.

Para usar un principio de servicio para conceder permisos a CycleCloud, asegúrese de que la casilla "Administrar identidad" está desactivada.

Agregar identidades administradas de suscripción