azure-devops - 为特定 Azure 用户创建服务原则

在快速入门中，它讨论了为当前用户创建服务原则。我想要更多的分层安全结构。我将成为当前用户，并且我希望拥有此密钥保管库的“超级用户”或管理员权限。但是，我创建了另一个访问权限较低的用户。对于我收集的这两种情况，我需要生成一个唯一的服务原则名称。如何为任意 Azure 用户生成服务主体名称？

标签： azure-devops

您可以在当前帐户下为此创建的用户创建另一个服务主体名称。您只需为此服务主体的密钥保管库分配较低的访问权限。然后，用户可以使用此访问权限较低的服务主体访问密钥保管库。

Azure服务主体是为与应用程序、托管服务和自动化工具一起使用以访问 Azure 资源而创建的标识。您可以根据需要为不同的访问权限创建任意数量的服务主体。如果您想在创建的用户帐户下生成服务主体，您可能必须以该创建的用户身份登录。否则，恐怕做不到。

您还可以在不使用服务主体的情况下将此用户的访问权限设置为此密钥保管库目录。看这里

az keyvault set-policy --name keyVaultName --object-id userObjectId --secret-permissions permissions --key-permissions permissions

您可以使用以下命令获取用户的对象 ID：请参见此处

az ad user show --id <email-address-of-user>