Utilizar o Principal de Serviço

  • Artigo

Pode ser utilizado um Principal de Serviço Azure AD para permitir que o Azure CycleCloud faça a gestão de clusters na sua subscrição (como alternativa à utilização de uma Identidade Gerida).

Escolher entre um Principal de Serviço e uma Identidade Gerida

Se o CycleCloud apenas gerir clusters numa única subscrição, considere utilizar uma Identidade Gerida em vez de um Principal de Serviço.

No entanto, uma vez que o CycleCloud só pode utilizar uma única Identidade Gerida, é necessário utilizar Principais de Serviço ao gerir clusters em várias subscrições ou inquilinos.

Criar um Principal de Serviço

O Azure CycleCloud requer um principal de serviço com direitos para gerir a sua subscrição do Azure. Se não tiver um principal de serviço disponível, pode criar um com a CLI do Azure, conforme mostrado abaixo.

Nota

O nome do principal de serviço tem de ser exclusivo. No exemplo abaixo, CycleCloudApp deve ser substituído por um nome exclusivo. Se executar o comando abaixo com um nome existente, este substitui e invalida o Principal de Serviço existente.

az ad sp create-for-rbac --name CycleCloudApp --years 1

O resultado apresentará uma série de informações. Terá de guardar , appIdpassworde tenant:

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Permissões

A opção mais simples (com direitos de acesso suficientes) é atribuir a Função de Contribuidor da Subscrição ao novo Principal de Serviço CycleCloud. No entanto, a Função de Contribuidor tem um nível de privilégio superior ao necessário para o CycleCloud. Pode ser criada e atribuída uma Função personalizada à VM.

O Guia de Identidade Gerida tem detalhes sobre como criar uma Função de AD de privilégio inferior adequada para o Principal de Serviço.

Para utilizar um Princípio de Serviço para conceder permissões ao CycleCloud, certifique-se de que a caixa de verificação "Gerir Identidade" está desmarcada.

Adicionar Identidades Geridas de Subscrição