使用服務主體
Azure AD 服務主體可用來讓 Azure CycleCloud 管理訂用帳戶中的叢集, (作為使用 受控識別) 的替代方案。
在服務主體與受控識別之間進行選擇
如果 CycleCloud 只會管理單一訂用帳戶中的叢集,請考慮使用受控識別,而不是服務主體。
不過,由於 CycleCloud 只能使用單一受控識別,因此在管理多個訂用帳戶或租使用者中的叢集時,必須使用服務主體。
建立服務主體
Azure CycleCloud 需要具有管理 Azure 訂用帳戶許可權的服務主體。 如果您沒有可用的服務主體,您可以使用 Azure CLI 建立服務主體,如下所示。
注意
您的服務主體名稱 必須 是唯一的。 在下列範例中, CycleCloudApp 應該以唯一的名稱取代。 如果您以現有的名稱執行下列命令,它會取代並使現有的服務主體失效。
az ad sp create-for-rbac --name CycleCloudApp --years 1
輸出會顯示一系列的資訊。 您必須儲存 appId
、 password
和 tenant
:
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
權限
具有足夠存取權限的最簡單選項 () 是將訂用帳戶的參與者角色指派給新的 CycleCloud 服務主體。 不過,參與者角色的許可權等級高於 CycleCloud 所需的許可權等級。 自訂 角色 可以建立並指派給 VM。
受控識別指南提供為服務主體建立適當較低許可權 AD 角色的詳細資料。
若要使用服務主體授與 CycleCloud 的許可權,請確定未核取 [管理身分識別] 核取方塊。