Я хочу программно предоставить виртуальной машине Azure роль участника для другого изменения вещей в других ресурсах, таких как таблицы маршрутов, учетные записи хранилища.
В приведенном выше документе msft объясняется, как можно предоставить виртуальной машине с поддержкой MSI роль участника для учетной записи хранения Azure с помощью Azure CLI. Может ли кто-нибудь добиться того же, используя пакет SDK для Azure Python вместо Azure CLI? Можно ли достичь той же цели без включения MSI?
Если вы создаете субъект-службу для своей виртуальной машины и каким-то образом проталкиваете учетные данные на виртуальную машину, вы можете избежать MSI. Но MSI был создан специально, чтобы этого избежать, поскольку на самом деле это непростой процесс и не безопасно вводить учетные данные внутри виртуальной машины.
Чтобы назначить роль идентификатору Active Directory (независимо от того, используется ли MSI или выделенный ServicePrincipal), вы можете использовать этот код для назначения роли (используя пакет azure-mgmt-authorization).
https://github.com/Azure-Samples/compute-python-msi-vm#role-assignement-to-the-msi-credentials.
# Get "Contributor" built-in role as a RoleDefinition object
role_name = 'Contributor'
roles = list(authorization_client.role_definitions.list(
resource_group.id,
filter="roleName eq '{}'".format(role_name)
))
assert len(roles) == 1
contributor_role = roles[0]
# Add RG scope to the AD id
# This assumes "sp_id" is either a MSI id or a SP id
role_assignment = authorization_client.role_assignments.create(
resource_group.id,
uuid.uuid4(), # Role assignment random name
{
'role_definition_id': contributor_role.id,
'principal_id': sp_id
}
)
Тогда этот идентификатор AD сможет воздействовать только на эту роль и не более того.
