Udostępnij za pośrednictwem

Korzystanie z jednostki usługi

  • Artykuł

Jednostka usługi Azure AD może służyć do zezwolenia usłudze Azure CycleCloud na zarządzanie klastrami w ramach subskrypcji (alternatywą dla korzystania z tożsamości zarządzanej).

Wybieranie między jednostką usługi a tożsamością zarządzaną

Jeśli usługa CycleCloud będzie zarządzać klastrami tylko w jednej subskrypcji, rozważ użycie tożsamości zarządzanej, a nie jednostki usługi.

Jednak ponieważ usługa CycleCloud może używać tylko jednej tożsamości zarządzanej, jest wymagana przy użyciu jednostek usługi podczas zarządzania klastrami w wielu subskrypcjach lub dzierżawach.

Tworzenie jednostki usługi

Usługa Azure CycleCloud wymaga jednostki usługi z prawami do zarządzania subskrypcją platformy Azure. Jeśli nie masz dostępnej jednostki usługi, możesz go utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure, jak pokazano poniżej.

Uwaga

Nazwa główna usługi musi być unikatowa. W poniższym przykładzie aplikacja CycleCloudApp powinna zostać zastąpiona unikatową nazwą. Jeśli uruchomisz poniższe polecenie z istniejącą nazwą, zastępuje ona istniejącą jednostkę usługi i unieważnia ją.

az ad sp create-for-rbac --name CycleCloudApp --years 1

Dane wyjściowe będą wyświetlać serię informacji. Musisz zapisać element appId, passwordi tenant:

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Uprawnienia

Najprostszą opcją (z wystarczającymi prawami dostępu) jest przypisanie roli współautora subskrypcji do nowej jednostki usługi CycleCloud. Jednak rola współautora ma wyższy poziom uprawnień niż wymaga usługa CycleCloud. Rolę niestandardową można utworzyć i przypisać do maszyny wirtualnej.

Przewodnik po tożsamości zarządzanej zawiera szczegółowe informacje dotyczące tworzenia odpowiedniej roli usługi AD z niższymi uprawnieniami dla jednostki usługi.

Aby użyć zasady usługi w celu nadania uprawnień usłudze CycleCloud, upewnij się, że pole wyboru "Zarządzaj tożsamością" jest niezaznaczone.

Dodawanie tożsamości zarządzanych subskrypcji