Utilisation du principal du service

  • Article

Un principal de service Azure AD peut être utilisé pour autoriser Azure CycleCloud à gérer des clusters dans votre abonnement (en guise d’alternative à l’utilisation d’une identité managée).

Choisir entre un principal de service et une identité managée

Si CycleCloud gère uniquement les clusters d’un seul abonnement, envisagez d’utiliser une identité managée plutôt qu’un principal de service.

Toutefois, étant donné que CycleCloud ne peut utiliser qu’une seule identité managée, l’utilisation de principaux de service est nécessaire lors de la gestion de clusters dans plusieurs abonnements ou locataires.

Créer un principal du service

Azure CycleCloud nécessite un principal de service disposant de droits pour gérer votre abonnement Azure. Si vous n’avez pas de principal de service disponible, vous pouvez en créer un à l’aide d’Azure CLI, comme indiqué ci-dessous.

Notes

Le nom de votre principal de service doit être unique. Dans l’exemple ci-dessous, CycleCloudApp doit être remplacé par un nom unique. Si vous exécutez la commande ci-dessous avec un nom existant, elle remplace et invalide le principal de service existant.

az ad sp create-for-rbac --name CycleCloudApp --years 1

La sortie affiche une série d’informations. Vous devez enregistrer , appIdpasswordet tenant:

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Autorisations

L’option la plus simple (avec des droits d’accès suffisants) consiste à attribuer le rôle contributeur de l’abonnement au nouveau principal de service CycleCloud. Toutefois, le rôle contributeur a un niveau de privilège supérieur à celui requis par CycleCloud. Un rôle personnalisé peut être créé et affecté à la machine virtuelle.

Le Guide d’identité managée contient des détails sur la création d’un rôle AD à privilège inférieur approprié pour le principal de service.

Pour utiliser un principe de service pour accorder des autorisations à CycleCloud, vérifiez que la case « Gérer l’identité » est décochée.

Ajouter des identités managées d’abonnement