azure - 如何在不授予整个订阅所有权的情况下部署 ARM 模板?
问题描述
我想使用服务主体将单个 ARM 模板部署到我们的 Azure 帐户。
我找不到有关如何授予尽可能少的特权的文档,但似乎使这项工作的唯一方法是在订阅上授予贡献者。
有没有办法将我的服务主体上的角色限制为仅部署ARM 模板或至少将其限制为单个资源组?
解决方案
实际上,对于每个模板,您可以通过查看模板找出可能的最低权限,它们将是 resourcetype + /write。以及创建部署的权限Microsoft.Resources/deployments/write。
但是只给资源组上的个人贡献者确实更容易。如果您担心安全性,可以在 Azure AD中使用Privileged Identity Management
推荐阅读
- c# - 在 ASP.NET Core API 中验证格式无效的值
- python - 为什么这段代码会生成多个文件?我想要 1 个包含所有条目的文件
- corda - 我是否能够序列化 Transaction Builder 以将其发送给另一方?
- java - BluetoothAdapter.getBondedDevices 虽然已配对但返回零设备,为什么?
- c++ - 从 clang-tidy 分析中排除头文件
- java - AWS 网络负载均衡器 (NLB) 是否支持 ALPN?
- mocha.js - 如何在 Mocha 测试中添加自定义成功消息?
- xml - 在 VB6 中替换 XML 节点中的值
- vue.js - Vue 中的 Matomo 标签管理器实现
- ruby-on-rails - Rails 控制台执行过时的代码副本