Använda tjänstens huvudnamn
Ett Azure AD tjänstens huvudnamn kan användas för att ge Azure CycleCloud behörighet att hantera kluster i din prenumeration (som ett alternativ till att använda en hanterad identitet).
Välja mellan tjänstens huvudnamn och en hanterad identitet
Om CycleCloud bara hanterar kluster i en enda prenumeration kan du överväga att använda en hanterad identitet i stället för ett tjänsthuvudnamn.
Men eftersom CycleCloud bara kan använda en enda hanterad identitet krävs det att du använder tjänstens huvudnamn när du hanterar kluster i flera prenumerationer eller klientorganisationer.
Skapa ett huvudnamn för tjänsten
Azure CycleCloud kräver ett huvudnamn för tjänsten med behörighet att hantera din Azure-prenumeration. Om du inte har något tillgängligt tjänsthuvudnamn kan du skapa ett med hjälp av Azure CLI enligt nedan.
Anteckning
Tjänstens huvudnamn måste vara unikt. I exemplet nedan bör CycleCloudApp ersättas med ett unikt namn. Om du kör kommandot nedan med ett befintligt namn ersätts och ogiltigförklaras det befintliga tjänstens huvudnamn.
az ad sp create-for-rbac --name CycleCloudApp --years 1
Utdata visar en serie med information. Du måste spara appId
, password
och tenant
:
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Behörigheter
Det enklaste alternativet (med tillräcklig åtkomstbehörighet) är att tilldela deltagarrollen för prenumerationen till det nya CycleCloud-tjänstens huvudnamn. Deltagarrollen har dock en högre behörighetsnivå än vad CycleCloud kräver. En anpassad roll kan skapas och tilldelas till den virtuella datorn.
Guiden hanterad identitet innehåller information om hur du skapar en lämplig AD-roll med lägre behörighet för tjänstens huvudnamn.
Om du vill använda en tjänstprincip för att ge behörigheter till CycleCloud kontrollerar du att kryssrutan "Hantera identitet" är avmarkerad.