Как узнать, был ли ресурс создан субъектом службы Azure?

Я вошел в Azure с помощью команды az login --service-Principal и создал группу ресурсов. Как узнать журнал аудита, в котором указано, что группа ресурсов была создана субъектом службы? Когда я захожу в журналы аудита, он упоминает, что его создал мой собственный идентификатор пользователя. Как такое возможно? Почему он сообщает, что я его создал, хотя правда в том, что я использовал идентификатор клиента и секрет для входа в систему и создания группы ресурсов?


azure azure-active-directory azure-resource-group azure-service-principal
person Arun Prakash Nagendran    schedule 10.06.2021    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Убедитесь, что вы используете az login --service-principal --username APP_ID --password PASSWORD --tenant TENANT_ID для входа в систему с субъектом службы.

Создав группу ресурсов с помощью az group create -l westus -n AllenTestRGroup008, я открываю Журнал активности и вижу, что здесь есть только одна операция:

введите описание изображения здесь

Событие, инициированное, вызывает эту операцию. Итак, в моем случае testMultiMSA является субъектом службы, который создает группу ресурсов.

Если я нажму на журнал для получения дополнительных сведений, я найду свойство caller в JSON. Это идентификатор объекта субъекта-службы.

введите описание изображения здесь

Вы можете получить чек со своей стороны.

person Allen Wu    schedule 11.06.2021
comment
Привет, Аллен, у меня это не сработало. Я все еще вижу, что созданный пользователь - это я, а не субъект службы! Однако есть два отличия. 1. У моего основного клиента службы нет подписки. Поэтому я использовал параметр --allow-no-subscription 2. При создании группы RG я использовал параметр --subscription с командой az group для создания rg в подписке, в которой SP имеет доступ участника. - person Arun Prakash Nagendran; 11.06.2021
comment
@ArunPrakashNagendran Я не понимаю, что если у вашего основного клиента службы нет подписки, как SP будет иметь доступ участника к подписке? Откуда эта подписка? - person Allen Wu; 11.06.2021
comment
@ArunPrakashNagendran Хорошо, я понял, что вы имеете в виду, основываясь на вашем предыдущем сообщении. Дай мне тест. - person Allen Wu; 11.06.2021
comment
@ArunPrakashNagendran Но я все еще не могу назначить роль участника подписки в арендаторе A субъекту службы в арендаторе B. Как это сделать? (шаг 4 в вашем предыдущем посте) - person Allen Wu; 11.06.2021
comment
Спасибо, что нашли время проверить это. Я перехожу к IAM управления доступом подписки в арендаторе A - ›перехожу к назначению ролей -› Ищу принцип / приложение службы и затем выбираю его, чтобы назначить его. Еще одна вещь: принципал-сервис был создан как часть регистрации приложения в клиенте Б. Тенант А - это моя организация AD, и они не разрешают мне создавать там принципалов Svc. Поэтому я прибег к созданию собственного AD / клиента. Прошу прощения, если мое объяснение вас смущает. - person Arun Prakash Nagendran; 11.06.2021
comment
Похоже, это была ошибка с моей стороны. Имя субъекта-службы, которое я использовал в арендаторе A, также доступно в арендаторе B в качестве субъекта-службы. Из-за того же имени я был введен в заблуждение, полагая, что они такие же. Вы правы в том, что принципалу службы из арендатора A нельзя дать роль участника в арендаторе B. - person Arun Prakash Nagendran; 11.06.2021