Возможно ли это API управления ресурсами Azure без подражания user_impersonation?

Спасибо @juunas за наброски и советы. Спасибо @Gaurav за попытку ответить на мой вопрос. Мне удалось изменить ресурсы Azure в подписке без предоставления user_impersonation в api management.azure.com. Вот шаги:

1) Зарегистрируйте приложение (в моем случае TestPermissions)

2) Добавьте разрешения API (необязательно). Добавлять management.azure.com не нужно.

3) Перейдите к ресурсу Azure (уровень подписки, группы ресурсов или группы управления в зависимости от ваших требований) и добавьте роль IAM / RBAC в зарегистрированное приложение. Я назначил роль Contributor приложению TestPermissions на уровне подписки.

4) Запросите токен доступа oauth2 после поток предоставления учетных данных клиента. Вы можете указать client_id и client_secret в теле запроса POST, или вы можете предоставить его как заголовок в кодировке Authorization Basic в кодировке base64 (что я и сделал). Сохраните токен доступа для использования в будущем (до истечения срока его действия).

Примечание. Я не мог одновременно добавить несколько аудиторий (областей видимости). Если вы хотите получить токен для api графика, вы можете запросить отдельный токен, изменив область действия на http://graph.microsoft.com/.default

5) Используйте токен доступа, полученный на предыдущем шаге, для взаимодействия с менеджером ресурсов Azure. Вам нужно будет добавить токен-носитель jwt в заголовок авторизации (здесь не показан) при каждом запросе к https://management.azure.com. В этом примере я создаю новую группу ресурсов с именем TestCreateRG003 для одной из моих подписок с оплатой по мере использования.

6) Давайте проверим / проверим, что ресурс создан или обновлен в Azure. Бинго, вот они! Приложение может читать / изменять (на основе RBAC) ресурсы Azure без предоставления разрешения на олицетворение.

Это правда, что, предоставляя это разрешение, вы позволяете приложению действовать как вы со всеми предоставляемыми разрешениями.

Основной способ, который я видел, когда требуются ограничения, - это то, что вы:

• Зарегистрируйте приложение в Azure AD
• Предоставьте субъекту службы необходимые роли (например, читатель на определенных ресурсах).
• Установите идентификатор клиента, идентификатор клиента, секрет клиента и т. Д. В приложении

Это, конечно, требует, чтобы само приложение поддерживало этот подход. Если он разрешает использование только через олицетворение, вам нужно либо доверять, либо не использовать.

Посмотрим, смогу ли я ответить на этот вопрос.

Когда пользователь запрашивает токен для management.azure.com, все, что делается, это то, что у пользователя есть разрешение на выполнение Azure ARM API. Это не означает, что они могут делать все возможное с помощью Azure ARM API.

То, что они могут делать, контролируется Azure Role Based Access Control (RBAC). Таким образом, если пользователь находится в роли Reader, токен, полученный от имени пользователя, может только читать информацию о ресурсах в его подписке Azure. Им не будет разрешено создавать, обновлять или удалять ресурсы в своей Подписке Azure.

Что вам нужно сделать, так это предоставить пользователям соответствующую роль RBAC, чтобы минимизировать риски неправильного использования.