Приложения-функции Azure - используются учетные данные зарегистрированного пользователя для чтения / обновления ресурсов Azure.

У меня есть приложение-функция Azure, которое может обновлять теги ресурсов Azure. В настоящее время у меня есть регистрация приложения с доступом на уровне участника к моей подписке, и эти учетные данные используются приложением-функцией при чтении и обновлении ресурсов (я использую ResourceManagementClient).

var credentials = SdkContext.AzureCredentialsFactory
                            .FromServicePrincipal(/* app client ID */,
                                                  /* app client secret */,
                                                  /* tenant ID */,
                                                  AzureEnvironment.AzureGlobalCloud);
var resourceClient = new Microsoft.Azure.Management.ResourceManager.ResourceManagementClient(credentials);

У меня также настроена аутентификация AAD для моего функционального приложения: Настройки AAD

Можно ли использовать учетные данные пользователя, вошедшего в систему AAD, при чтении / обновлении ресурсов Azure вместо регистрации моего приложения? Таким образом, я думаю, что если кто-то отправит запрос в приложение-функцию на обновление тегов, но не имеет необходимых разрешений для подписки, запрос завершится ошибкой.


azure c# azure-function-app
person Michelle    schedule 22.05.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Я думаю, что если кто-то отправит запрос в приложение-функцию на обновление тегов, но не имеет необходимых разрешений на подписку, запрос завершится ошибкой.

Вы совершенно правы. Если у пользователя нет прямого разрешения на подписку, он не сможет обновлять теги. Пользователи AAD будут иметь доступ только к вашей функции, но не будут иметь разрешения на обновление ресурсов Azure.

person Tony Ju    schedule 23.05.2020
comment
Это не соответствует тому поведению, которое я сейчас наблюдаю. Если я прохожу аутентификацию через AAD как пользователь, который должен иметь разрешения только на чтение для подписки, они все равно смогут обновлять теги ресурсов через приложение-функцию. - person Michelle; 26.05.2020
comment
@Michelle Какое имя разрешения у вашей подписки? - person Tony Ju; 28.05.2020
comment
Извините, не могли бы вы пояснить, что вы подразумеваете под именем разрешения? Я не знаком с этой терминологией. - person Michelle; 29.05.2020
comment
@Michelle Извините, я имею в виду роль в вашей подписке - person Tony Ju; 30.05.2020
comment
Не беспокойся. Для регистрации приложения, которое мое приложение-функция в настоящее время использует для чтения и обновления ресурсов, установлена ​​роль «Участник» для моей подписки. Итак, пока пользователь, обращающийся к моему приложению-функции, также имеет доступ на уровне участника, поведение приложения-функции в порядке, но если у пользователя есть только разрешения уровня чтения для моей подписки, то я не хочу разрешать выпуск обновлений. через. Дайте мне знать, если это не проясняет ситуацию. - person Michelle; 02.06.2020