Azure 自动化特权

Azure Automation Privileges

我有两个订阅。

在一个订阅中,我 运行 逻辑应用程序和逻辑应用程序,我有 azure 函数。

另一个订阅包含通过逻辑应用程序和 Azure 函数实现自动化的目标资源。

为了 运行 逻辑应用程序和 Azure 函数与之关联,我需要对目标订阅有什么权限?我希望能够执行停止 VM、更改 NSG 设置、运行 恶意软件扫描等操作

我是否需要运行逻辑应用使用对这两个订阅都具有所有者权限的帐户?

此致, 凯利

最好使用 service principal 进行集中访问控制。

这样,您就可以使用服务主体对资源进行身份验证和授权操作。它也可以在逻辑应用程序中为 Azure Resource Manager 连接器配置。

另一种选择是使用 Managed Identity,但这仅支持 HTTP 操作。

即使在您的 Function Apps 中,您也可以使用服务主体详细信息设置 Managed Identity or use the Client Credentials Flow

关于此服务主体的确切权限,您可以use this reference of built-in roles for providing granular control. For example, to just stop/start VMs, your service principal would need Virtual Machine Contributor

您还可以通过 creating custom roles.

提供更好的资源访问权限