Utilizar o Principal de Serviço
Pode ser utilizado um Principal de Serviço Azure AD para permitir que o Azure CycleCloud faça a gestão de clusters na sua subscrição (como alternativa à utilização de uma Identidade Gerida).
Escolher entre um Principal de Serviço e uma Identidade Gerida
Se o CycleCloud apenas gerir clusters numa única subscrição, considere utilizar uma Identidade Gerida em vez de um Principal de Serviço.
No entanto, uma vez que o CycleCloud só pode utilizar uma única Identidade Gerida, é necessário utilizar Principais de Serviço ao gerir clusters em várias subscrições ou inquilinos.
Criar um Principal de Serviço
O Azure CycleCloud requer um principal de serviço com direitos para gerir a sua subscrição do Azure. Se não tiver um principal de serviço disponível, pode criar um com a CLI do Azure, conforme mostrado abaixo.
Nota
O nome do principal de serviço tem de ser exclusivo. No exemplo abaixo, CycleCloudApp deve ser substituído por um nome exclusivo. Se executar o comando abaixo com um nome existente, este substitui e invalida o Principal de Serviço existente.
az ad sp create-for-rbac --name CycleCloudApp --years 1
O resultado apresentará uma série de informações. Terá de guardar , appId
password
e tenant
:
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Permissões
A opção mais simples (com direitos de acesso suficientes) é atribuir a Função de Contribuidor da Subscrição ao novo Principal de Serviço CycleCloud. No entanto, a Função de Contribuidor tem um nível de privilégio superior ao necessário para o CycleCloud. Pode ser criada e atribuída uma Função personalizada à VM.
O Guia de Identidade Gerida tem detalhes sobre como criar uma Função de AD de privilégio inferior adequada para o Principal de Serviço.
Para utilizar um Princípio de Serviço para conceder permissões ao CycleCloud, certifique-se de que a caixa de verificação "Gerir Identidade" está desmarcada.