我有两个订阅。
在一个订阅上,我运行逻辑应用程序,在逻辑应用程序上我有天蓝色的功能。
另一个订阅包含通过逻辑应用和天蓝色函数实现自动化的目标资源。
为了运行与其关联的逻辑应用和 Azure 功能,我需要对目标订阅具有哪些权限?我希望能够执行诸如停止 VM、更改 NSG 设置、运行恶意软件扫描等操作
我是否需要使用对两个订阅都拥有所有者权限的帐户来运行逻辑应用?
问候,凯利
问问题
78 次
1 回答
1
最好使用服务主体进行集中访问控制。
有了这个,您可以使用服务主体对资源进行身份验证和授权操作。也可以为逻辑应用中的Azure 资源管理器连接器配置它。
另一种选择是使用Managed Identity,但仅支持 HTTP 操作。
即使在您的函数应用程序中,您也可以设置托管身份或使用服务主体详细信息使用客户端凭据流。
至于此服务主体的确切权限,您可以使用此内置角色参考来提供精细控制。例如,要停止/启动 VM,您的服务主体将需要Virtual Machine Contributor。
您还可以通过创建自定义角色来提供对资源的更好访问。
于 2019-07-24T11:10:14.807 回答