azure - 如何从不同订阅中的资源分配托管标识

下面是场景：

我们在三个不同的订阅中拥有三个 VM，它们需要连接到常见服务，例如使用 MI 的存储帐户。在这种情况下，我是否需要创建三个不同的 MI，因为源位于三个不同的订阅中，或者我可以使用用户分配的 MI 并使用同一个 MI 和三个 VM 来连接存储（1:1 关系），即使它们在不同的Azure 中的潜艇？

还是我们必须使用三个不同的 MI？

标签： azureazure-active-directoryazure-managed-identity

我可以使用用户分配的 MI 并使用相同的 MI 和三个 VM 来连接存储（1:1 关系），即使它们位于 Azure 的不同子系统中？

是的你可以。

本质上，用户分配的身份是 Azure AD 租户中的服务主体，您可以将其添加到不同订阅中的 VM，要求是订阅需要位于同一 AAD 租户中。

将用户分配的身份添加到不同订阅中的资源后，如下所示。

如果你想使用虚拟机的用户分配的身份访问存储，你可以参考这个文档，这个文档适用于系统分配的身份，对于用户分配的身份，你需要指定用户分配的client_id身份获得令牌时的身份，请参阅此文档。