python - 在 Azure Python API 中以编程方式创建服务主体

Question

如何使用 Azure Python API 创建一套完整的凭据，以后可以使用这些凭据启动和解除分配命名资源组中的所有 VM，而无需任何其他权限？

我已经彻底研究了示例代码以及官方和非官方文档，但我什至不知道从哪里开始......

我知道我需要租户 ID、客户端 ID、客户端密码和订阅 ID。我可以使用 API 进行哪些操作，我将如何分配角色以允许启动/取消分配现有资源组的 VM？

示例代码备受追捧，但会采取任何提示！

Answer 1

您需要该azure-graphrbac包来创建服务主体：

• https://docs.microsoft.com/python/api/overview/azure/activedirectory

更接近样本的可能是这个单元测试：

• https://github.com/Azure/azure-sdk-for-python/blob/master/sdk/graphrbac/azure-graphrbac/tests/test_graphrbac.py

对于角色和权限，您需要azure-mgmt-authorization：

• https://docs.microsoft.com/python/api/overview/azure/authorization

这个最好的样本，可能是这个样本的子部分：

• https://github.com/Azure-Samples/compute-python-msi-vm#role-assignement-to-the-msi-credentials

在您的上下文中，“msi_identity”是“服务主体”的同义词。

请注意，CLI v2.0 支持所有这些：

• https://docs.microsoft.com/cli/azure/ad/sp
• https://docs.microsoft.com/cli/azure/role/assignment

可能有兴趣在--debug模式下测试 CLI 并同时在代码仓库中嗅探：

• https://github.com/Azure/azure-cli

（完全披露，我在 Azure SDK for Python 团队的 MS 工作）