サービス プリンシパルを使用する
Azure AD サービス プリンシパルを使用して、( マネージド ID を使用する代わりに) サブスクリプション内のクラスターを管理するための Azure CycleCloud のアクセス許可を付与できます。
サービス プリンシパルとマネージド ID の選択
CycleCloud が 1 つのサブスクリプション内のクラスターのみを管理する場合は、サービス プリンシパルではなくマネージド ID の使用を検討してください。
ただし、CycleCloud では 1 つのマネージド ID のみを使用できるため、複数のサブスクリプションまたはテナントでクラスターを管理する場合は、サービス プリンシパルを使用する必要があります。
サービス プリンシパルを作成する
Azure CycleCloud には、Azure サブスクリプションを管理する権限を持つサービス プリンシパルが必要です。 使用できるサービス プリンシパルがない場合は、次に示すように Azure CLI を使用して作成できます。
注意
サービス プリンシパル名は一意である 必要があります 。 次の例では、 CycleCloudApp を 一意の名前に置き換える必要があります。 次のコマンドを既存の名前で実行すると、既存のサービス プリンシパルが置き換えられ、無効になります。
az ad sp create-for-rbac --name CycleCloudApp --years 1
出力には一連の情報が表示されます。 、、および tenant
をappId
password
保存する必要があります。
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
アクセス許可
(十分なアクセス権を持つ) 最も簡単なオプションは、サブスクリプションの共同作成者ロールを新しい CycleCloud サービス プリンシパルに割り当てることです。 ただし、共同作成者ロールの特権レベルは、CycleCloud が必要とするよりも高くなります。 カスタム ロールを作成し、VM に割り当てることができます。
マネージド ID ガイドには、サービス プリンシパルに対する適切な低い特権の AD ロールの作成に関する詳細が記載されています。
サービス原則を使用して CycleCloud にアクセス許可を付与するには、[ID の管理] チェックボックスがオフになっていることを確認します。