Freigeben über

Verwenden eines Dienstprinzipals

  • Artikel

Ein Azure AD-Dienstprinzipal kann verwendet werden, um Azure CycleCloud zum Verwalten von Clustern in Ihrem Abonnement zu gestatten (alternativ zur Verwendung einer verwalteten Identität).

Auswahl zwischen einem Dienstprinzipal und einer verwalteten Identität

Wenn CycleCloud nur Cluster in einem einzelnen Abonnement verwaltet, sollten Sie eine verwaltete Identität anstelle eines Dienstprinzipals verwenden.

Da CycleCloud jedoch nur eine einzelne verwaltete Identität verwenden kann, ist die Verwendung von Dienstprinzipalen erforderlich, wenn Cluster in mehreren Abonnements oder Mandanten verwaltet werden.

Erstellen eines Dienstprinzipals

Azure CycleCloud erfordert einen Dienstprinzipal mit Rechten zum Verwalten Ihres Azure-Abonnements. Wenn Sie keinen Dienstprinzipal zur Verfügung haben, können Sie einen dienstprinzipal mit der Azure CLI erstellen, wie unten gezeigt.

Hinweis

Ihr Dienstprinzipalname muss eindeutig sein. Im folgenden Beispiel sollte CycleCloudApp durch einen eindeutigen Namen ersetzt werden. Wenn Sie den folgenden Befehl mit einem vorhandenen Namen ausführen, wird der vorhandene Dienstprinzipal ersetzt und ungültig.

az ad sp create-for-rbac --name CycleCloudApp --years 1

Die Ausgabe zeigt eine Reihe von Informationen an. Sie müssen die appId, passwordund tenantspeichern:

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Berechtigungen

Die einfachste Option (mit ausreichenden Zugriffsrechten) besteht darin, dem neuen CycleCloud-Dienstprinzipal die Rolle Mitwirkender für das Abonnement zuzuweisen. Die Rolle Mitwirkender hat jedoch eine höhere Berechtigungsstufe als CycleCloud. Möglicherweise wird eine benutzerdefinierte Rolle erstellt und dem virtuellen Computer zugewiesen.

Der Leitfaden für verwaltete Identitäten enthält Details zum Erstellen einer entsprechenden AD-Rolle mit niedrigeren Berechtigungen für den Dienstprinzipal.

Um ein Dienstprinzipal zum Erteilen von Berechtigungen für CycleCloud zu verwenden, stellen Sie sicher, dass das Kontrollkästchen "Identität verwalten" deaktiviert ist.

Hinzufügen von verwalteten Abonnementidentitäten