Azure Devops - 服务主体手动设置?
Azure Devops - Service Principal manual setup?
我在两个不同的 Azure devops 项目中有以下 Azure devops 管道,一个用于基础设施团队,另一个用于应用程序开发团队
- 使用 Terraform 配置网络、ACR 和 AKS 基础设施
- 使用 Helm 部署 AKS 应用程序
我不想授予 Azure 订阅所有者帐户或 Azure 订阅所有者对 Azure devops 服务连接的权限。
我为每个管道创建了两个单独的服务帐户。现在,分配给服务帐户的所有角色是什么,以便 Azure Devops 项目使用服务帐户/服务主体(手动)来连接和执行活动。
这是生产部署的正确方法吗?
据我所知,服务主体只能手动创建,无论是命令还是 REST API。而对于生产部署,需要严格控制权限。并且不要给服务主体过多的权限是一种安全的方式,它为误操作提供了预防措施。更严格的权限控制是如果 built-in 角色也有比我们需要更多的权限,则根据需要创建自定义角色。如果需要,请参阅有关令牌的 Create Custom Role. And for the ACR, there is also finer control here 的详细信息。
我在两个不同的 Azure devops 项目中有以下 Azure devops 管道,一个用于基础设施团队,另一个用于应用程序开发团队
- 使用 Terraform 配置网络、ACR 和 AKS 基础设施
- 使用 Helm 部署 AKS 应用程序
我不想授予 Azure 订阅所有者帐户或 Azure 订阅所有者对 Azure devops 服务连接的权限。
我为每个管道创建了两个单独的服务帐户。现在,分配给服务帐户的所有角色是什么,以便 Azure Devops 项目使用服务帐户/服务主体(手动)来连接和执行活动。
这是生产部署的正确方法吗?
据我所知,服务主体只能手动创建,无论是命令还是 REST API。而对于生产部署,需要严格控制权限。并且不要给服务主体过多的权限是一种安全的方式,它为误操作提供了预防措施。更严格的权限控制是如果 built-in 角色也有比我们需要更多的权限,则根据需要创建自定义角色。如果需要,请参阅有关令牌的 Create Custom Role. And for the ACR, there is also finer control here 的详细信息。