Azure AD - может ли субъект-служба назначить себе роль RBAC в подписке Azure?

У меня есть веб-API, защищенный Azure AD. Я создал регистрацию приложения для веб-API, которая разрешает доступ к API только пользователям из этого Azure AD (т. Е. Одному клиенту). Этот процесс также создал субъекта-службы в этом клиенте.

Мне интересно, может ли этот субъект-служба самостоятельно назначать себе роль RBAC (любую роль RBAC в этом отношении) в подписке Azure, которая доверяет этому Azure AD? Или это будет действие, инициированное пользователем, когда пользователь с соответствующим разрешением (например, Owner или User Access Administrator) должен назначить соответствующую роль этому субъекту службы?

Насколько я понимаю, я считаю, что это последнее (то есть другой пользователь должен выполнить эту операцию). Однако похоже, что это должно быть возможно.

Причина, по которой я говорю это, заключается в том, что когда я создаю новую подписку Azure, мне автоматически назначается Owner роль в этой подписке Azure (я являюсь глобальным администратором в моей Azure AD). Мне интересно, как это достигается.

Если это действительно возможно, то какую роль Azure AD следует назначить субъекту-службе?

Мы будем очень признательны за любое понимание этого.


azure azure-active-directory azure-service-principal rbac
person Gaurav Mantri    schedule 17.05.2021    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Конечно, может, но субъекту службы также требуется _ 1_ разрешение например Owner или User Access Administrator, чтобы назначить себе другую роль RBAC.

Если вы имеете в виду, что субъект-служба не имеет в настоящее время роли RBAC, то он не может, даже если он является глобальным администратором в клиенте, он не может назначить роль RBAC самому себе напрямую.

Кроме того, учетная запись пользователя отличается от принципала службы: если пользователь является глобальным администратором в клиенте, он может просто _ 4_ для себя (это работает только для пользователя, а не для субъекта-службы), тогда он получит роль User Access Administrator в root области, то он может назначить себе любую роль RBAC.

Если ваш субъект-служба является глобальным администратором и хочет назначить себе роль RBAC, вам может потребоваться сначала назначить роль глобального администратора другой учетной записи пользователя, затем повысить уровень доступа для управления всеми подписками Azure, а затем использовать учетную запись пользователя для назначения RBAC. роль субъекта-службы.

person Joy Wang    schedule 17.05.2021

arrow_upward
1
arrow_downward

Вы правы в том, что принципал может предоставлять себе разрешения только тогда, когда у него уже есть на это права. Из этого следовало бы, что новый принципал MSI не будет членом каких-либо групп или назначать какие-либо роли RBAC и, следовательно, не может предоставить себе дополнительные права.

В случае подписки Azure участник, создающий подписку, либо имеет разрешение на это в существующем клиенте, либо создает новый клиент и подписку, и права предоставляются системой пользователю как создателю / владельцу.

Возможный подход к автоматизации предоставления прав новым MSI - это использование функции Azure, вызов Microsoft Graph для запроса новых MSI, соответствующих критериям поиска, а затем предоставление субъекту MSI необходимых разрешений. Функция должна иметь назначенный MSI, которому потребуется разрешение для предоставления требуемых прав новому MSI в желаемой области.

person Matthew    schedule 17.05.2021