다음을 통해 공유

서비스 주체 사용

  • 아티클

Azure AD 서비스 주체를 사용하여 Azure CycleCloud가 관리 ID를 사용하는 대신 구독의 클러스터를 관리할 수 있도록 권한을 부여할 수 있습니다.

서비스 주체와 관리 ID 중에서 선택

CycleCloud가 단일 구독에서만 클러스터를 관리하는 경우 서비스 주체가 아닌 관리 ID를 사용하는 것이 좋습니다.

그러나 CycleCloud는 단일 관리 ID만 사용할 수 있으므로 여러 구독 또는 테넌트에서 클러스터를 관리할 때 서비스 주체를 사용해야 합니다.

서비스 주체 만들기

Azure CycleCloud에는 Azure 구독을 관리할 수 있는 권한이 있는 서비스 주체가 필요합니다. 사용 가능한 서비스 주체가 없는 경우 아래와 같이 Azure CLI를 사용하여 만들 수 있습니다.

참고

서비스 주체 이름은 고유 해야 합니다 . 아래 예제에서는 CycleCloudApp 을 고유한 이름으로 바꿔야 합니다. 아래 명령을 기존 이름으로 실행하면 기존 서비스 주체가 대체되고 무효화됩니다.

az ad sp create-for-rbac --name CycleCloudApp --years 1

출력에는 일련의 정보가 표시됩니다. , passwordtenantappId저장해야 합니다.

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

사용 권한

가장 간단한 옵션(충분한 액세스 권한 포함)은 구독에 대한 기여자 역할을 새 CycleCloud 서비스 주체에 할당하는 것입니다. 그러나 기여자 역할은 CycleCloud에 필요한 것보다 높은 권한 수준을 줍니다. 사용자 지정 역할을 만들고 VM에 할당할 수 있습니다.

관리 ID 가이드에는 서비스 주체에 대한 적절한 하위 권한 AD 역할을 만드는 방법에 대한 세부 정보가 있습니다.

서비스 원칙을 사용하여 CycleCloud에 권한을 부여하려면 "ID 관리" 확인란이 선택 취소되어 있는지 확인합니다.

구독 관리 ID 추가