问题标签 [azure-rbac]

我在两个不同的 Azure devops 项目中有以下 Azure devops 管道，一个用于基础结构团队，另一个用于应用程序开发团队

1. 使用 Terraform 配置网络、ACR 和 AKS 基础架构
2. 使用 Helm 部署 AKS 应用程序

我不想为 Azure devops 服务连接授予 Azure 订阅所有者帐户或 Azure 订阅所有者权限。

我为每个管道创建了两个单独的服务帐户。现在，分配给服务帐户的所有角色是什么，以便 Azure Devops 项目使用服务帐户/服务主体（手动）来连接和执行活动。

这是生产部署的正确方法吗？

作为基线，我的角色目前看起来像这样。这些任务是否有任何权限超载或不必要？

尝试从 VS Code 的 Bash 终端创建 azure 存储帐户时，出现以下错误：

使用 az login 成功登录 Azure 后，我仍然收到错误消息。

我正在尝试使用 Openshift REST-API 来获取我的 cron 作业的状态。我是我的命名空间的管理员，但我没有集群访问权限，所以我无法在集群级别做任何事情。

现在，为了获得状态，我首先创建角色：

但是，当我尝试将角色添加到服务帐户时，它会失败。

我的主要目的是获取我正在安排的 cron 作业、作业和 pod 的状态。

对于 Azure 资源组所有者，我无法从角色分配的用户列表中找到任何用户。我收到一条消息“发生错误。请稍后再试。” 反而。请在此处查看屏幕截图。screenshot 资源组所有者是来宾成员。他是相关资源组的唯一所有者。

我想拒绝创建虚拟机，但允许其他一切，包括更新它。

我创建了一个自定义 RBAC 角色来拒绝创建和允许其他内容，但是当我将磁盘附加到该 VM 时，我被拒绝了，因为我没有更新 VM 的权限。在天蓝色的 RBAC 中，“创建”同时具有创建和更新。

所以，我想允许更新并拒绝创建。有没有其他方法，比如政策之类的？

我为我的 DevOps 管道设置了一个服务主体，我用它来创建服务主体/应用程序，供我通过 Azure CLI 部署的服务使用，如下所示：

如果我将以下权限分配给我的 DevOps 服务主体，它将完美运行：

但是，这显然会触发弃用警报，但如果我将权限更改为：

我得到以下信息：

当谈到 Azure AD Graph 与 Microsoft Graph 时，我是否遗漏了一个微妙之处，它们不只是将新旧 API 放入同一个 Azure AD 租户吗？

我和我的团队正在处理数百个属于不同团队的订阅。他们中的许多人在安全性、要使用的服务等方面有不同的需求，而我们作为一个中央平台，还确保每个人都使用相同的基线（安全性、监控、自动化等）。

我们当然需要处理 RBAC，并且我们经常使用自定义角色。我想知道是否有一种方法可以基于另一个角色创建自定义角色以从“经典继承”中受益。

因此，我可以创建一个名为“ basic_user ”的角色，该角色将包含一组“ Actions ”，一个“ advanced_user ”可以具有“ basic_user ”访问权限以及其他访问权限，以此类推，具有“ super_advanced_user ”。

我知道到目前为止，Microsoft 已经以相反的方式设计了它，允许我们为给定的个人/组分配多个角色，但出于内部设计原因，我们希望坚持为给定收件人分配一个角色（一个 AAD 组包含所有的人都根据他们的角色）。

这在技术上是否可行/可重现，或者有人听说过这样的功能吗？或者，由于您想要强调的某些原因，我们不应该考虑它吗？

我已按照以下指南中的步骤在 azure 中设置 agic： https ://github.com/Azure/application-gateway-kubernetes-ingress/blob/master/docs/setup/install-existing.md

我在一个子网中有一个带有 aks 集群（启用 rbac）的 vnet，在另一个子网中有一个应用程序网关。我已按照使用服务主体和 aad pod 身份授权 ARM 的步骤进行操作。

但是，在这两种情况下，一旦使用 helm-config.yaml 文件安装了入口控制器，pod 的日志就会显示它正在运行但尚未准备好。

以下是使用 aad pod 身份进行身份验证时

显示的事件kubectl describe pod是： 事件

显示的日志kubectl logs -f包含以下错误： logs error

如指南中所述，我创建了三个角色分配：

• AGIC 的身份 Contributor 访问 App Gateway
• AGIC 对 App Gateway 资源组的身份 Reader 访问权限
• 托管身份操作员角色到 AGIC 的集群身份

请帮助我理解错误。

我在以下角色中创建了app registration manifest：

现在我正在使用appRoleAssignmentapi 为用户分配角色。我正在关注此文档。在这个页面中，它说我们需要使用下面的 api 和 json 正文：

我无法理解我应该在principalId和resourceId中使用什么appRoleId。根据该页面，它说：

但我能理解的是principalId is the ID of the user I have in the active directory for which I want to assign the role.

在我的例子中是下图中的 ObjectId：

这个对吗。？

resourceId是租户 id 并且appRoleId是我在创建上面的应用程序角色时使用的 idd1c2ade8-98f8-45fd-aa4a-6d06b947c66f

如果我在 python 中提出请求，将它们放在一起

我收到以下回复：

谁能帮我调试一下。请帮忙。谢谢

编辑：

错误：

杰森：

帖子网址：https ://graph.microsoft.com/v1.0/servicePrincipals/261eda4b-6eee-45ba-a176-259960603409/appRoleAssignments

GET Url 以获取对象 ID：https ://graph.microsoft.com/v1.0/serviceprincipals?$select=id& $filter=displayName eq '{useracces}'