Delen via

Service-principal gebruiken

  • Artikel

Een Azure AD service-principal kan worden gebruikt om Azure CycleCloud toestemming te geven voor het beheren van clusters in uw abonnement (als alternatief voor het gebruik van een beheerde identiteit).

Kiezen tussen een service-principal en een beheerde identiteit

Als CycleCloud slechts clusters in één abonnement beheert, kunt u overwegen om een beheerde identiteit te gebruiken in plaats van een service-principal.

Omdat CycleCloud echter slechts één beheerde identiteit kan gebruiken, is het gebruik van service-principals vereist bij het beheren van clusters in meerdere abonnementen of tenants.

Een service-principal maken

Voor Azure CycleCloud is een service-principal met rechten vereist om uw Azure-abonnement te beheren. Als u geen service-principal beschikbaar hebt, kunt u er een maken met behulp van de Azure CLI, zoals hieronder wordt weergegeven.

Notitie

De naam van de service-principal moet uniek zijn. In het onderstaande voorbeeld moet CycleCloudApp worden vervangen door een unieke naam. Als u de onderstaande opdracht uitvoert met een bestaande naam, wordt de bestaande service-principal vervangen en ongeldig.

az ad sp create-for-rbac --name CycleCloudApp --years 1

In de uitvoer wordt een reeks informatie weergegeven. U moet de appId, passworden tenantopslaan:

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Machtigingen

De eenvoudigste optie (met voldoende toegangsrechten) is om de rol Inzender voor het abonnement toe te wijzen aan de nieuwe CycleCloud-service-principal. De rol Inzender heeft echter een hoger bevoegdheidsniveau dan CycleCloud vereist. Er kan een aangepaste rol worden gemaakt en toegewezen aan de virtuele machine.

De handleiding voor beheerde identiteiten bevat details over het maken van een geschikte AD-rol met lagere bevoegdheden voor de service-principal.

Als u een service-principal wilt gebruiken om machtigingen te verlenen aan CycleCloud, moet u ervoor zorgen dat het selectievakje 'Identiteit beheren' is uitgeschakeld.

Beheerde abonnementsidentiteiten toevoegen