Uso dell'entità servizio
Un'entità servizio di Azure AD può essere usata per autorizzare Azure CycleCloud a gestire i cluster nella sottoscrizione (in alternativa all'uso di un'identità gestita).
Scelta tra un'entità servizio e un'identità gestita
Se CycleCloud gestirà solo i cluster in una singola sottoscrizione, prendere in considerazione l'uso di un'identità gestita anziché un'entità servizio.
Tuttavia, poiché CycleCloud può usare solo un'unica identità gestita, è necessario usare entità servizio quando si gestiscono cluster in più sottoscrizioni o tenant.
Creare un'entità servizio
Azure CycleCloud richiede un'entità servizio con diritti per gestire la sottoscrizione di Azure. Se non è disponibile un'entità servizio, è possibile crearne una usando l'interfaccia della riga di comando di Azure, come illustrato di seguito.
Nota
Il nome dell'entità servizio deve essere univoco. Nell'esempio seguente , CycleCloudApp deve essere sostituito con un nome univoco. Se si esegue il comando seguente con un nome esistente, sostituisce e invalida l'entità servizio esistente.
az ad sp create-for-rbac --name CycleCloudApp --years 1
L'output visualizzerà una serie di informazioni. Sarà necessario salvare , appId
password
e tenant
:
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Autorizzazioni
L'opzione più semplice (con diritti di accesso sufficienti) consiste nell'assegnare il ruolo collaboratore per la sottoscrizione al nuovo entità servizio CycleCloud. Tuttavia, il ruolo collaboratore ha un livello di privilegi superiore rispetto a CycleCloud richiesto. Un ruolo personalizzato può essere creato e assegnato alla macchina virtuale.
La Guida all'identità gestita contiene informazioni dettagliate sulla creazione di un ruolo active directory con privilegi inferiori appropriati per l'entità servizio.
Per usare un principio di servizio per concedere le autorizzazioni a CycleCloud, assicurarsi che la casella di controllo "Gestisci identità" sia deselezionata.