0

我在两个不同的 Azure devops 项目中有以下 Azure devops 管道,一个用于基础结构团队,另一个用于应用程序开发团队

  1. 使用 Terraform 配置网络、ACR 和 AKS 基础架构
  2. 使用 Helm 部署 AKS 应用程序

我不想为 Azure devops 服务连接授予 Azure 订阅所有者帐户或 Azure 订阅所有者权限。

我为每个管道创建了两个单独的服务帐户。现在,分配给服务帐户的所有角色是什么,以便 Azure Devops 项目使用服务帐户/服务主体(手动)来连接和执行活动。

这是生产部署的正确方法吗?

4

1 回答 1

1

据我所知,服务主体只能手动创建,无论是命令还是 REST API。而对于生产部署,需要严格控制权限。并且不要给服务主体过多的权限是一种安全的方式,它为误操作提供了预防措施。更严格的权限控制是如果内置角色的权限也比我们需要的多,则根据需要创建自定义角色。请参阅有关创建自定义角色的详细信息。对于 ACR,如果需要,这里还可以对令牌进行更精细的控制。

于 2020-09-07T03:02:12.180 回答