У меня есть субъект-служба в одном клиенте, которому требуется доступ к реестру контейнеров Azure в другом клиенте. Однако я не уверен, как создать для него azurerm_role_assignment. Есть ли способ настроить принципал-службу как мультитенантный, чтобы ему можно было назначать роли в обоих клиентах соответственно?
Как создать многопользовательского субъекта-службы в Azure с помощью Terraform
Ответы (1)
Сначала установите available_to_other_tenants = true
для приложения Azure ad и принципала службы в terraform.
Теперь, когда субъект-служба существует в вашем клиенте, самый быстрый способ сделать субъект-службу, созданный в другом клиенте, - это использовать согласие администратора.
https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}
Замените {tenant-id}
реальным идентификатором другого арендатора. {client-id}
- это идентификатор приложения Azure Ad или субъекта-службы.
Получите доступ к URL-адресу в браузере. Используйте учетную запись администратора другого клиента, чтобы войти в систему и принять разрешения. Затем субъект-служба будет создан в другом арендаторе.
Теперь вы можете создать azurerm_role_assignemnt
для нового субъекта-службы (это другой субъект службы, отличный от исходного, и именно так работает приложение с несколькими арендаторами), созданный в другом арендаторе.
https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}&redirect_uri={url}
. Убедитесь, что он такой же, как тот, который вы установили при регистрации приложения Azure AD.
- person Allen Wu; 08.02.2021
https://localhost/
для тестирования.
- person Allen Wu; 08.02.2021