Service Principal gebruiken

U kunt een Azure AD-service-principal gebruiken om Azure CycleCloud toestemming te geven voor het beheren van clusters in uw abonnement. Deze benadering fungeert als alternatief voor het gebruik van een beheerde identiteit.

Over het algemeen wordt u aangeraden een door het systeem toegewezen of User-Assigned beheerde identiteit te gebruiken om deze machtigingen te verlenen in plaats van een service-principal.

Een service-principal maken

Azure CycleCloud heeft een service-principal met rechten nodig om uw Azure-abonnement te beheren. Als u geen service-principal hebt, kunt u er een maken met de Azure CLI, zoals wordt weergegeven in het volgende voorbeeld.

Notitie

De naam van uw service-principal moet uniek zijn. In het volgende voorbeeld moet CycleCloudApp worden vervangen door een unieke naam. Als u de opdracht uitvoert met een bestaande naam, wordt de bestaande service-principal vervangen en ongeldig gemaakt.

az ad sp create-for-rbac --name CycleCloudApp --years 1

In de uitvoer wordt een reeks gegevens weergegeven. Sla de appId, passworden tenant waarden op:

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Machtigingen

De eenvoudigste optie, met voldoende toegangsrechten, is het toewijzen van de rol Inzender voor het abonnement aan de nieuwe CycleCloud-service-principal. De rol Inzender heeft echter een hoger bevoegdheidsniveau dan CycleCloud vereist. In plaats daarvan kunt u een aangepaste rol maken en toewijzen aan de virtuele machine.

De handleiding beheerde identiteit bevat informatie over het maken van een geschikte AD-rol met lagere bevoegdheden voor de service-principal.

Als u een serviceprincipe wilt gebruiken om machtigingen te verlenen aan CycleCloud, moet u ervoor zorgen dat u de optie App-registratie selecteert.