你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用服务主体

Azure AD 服务主体可用于允许 Azure CycleCloud 管理订阅中的群集， (作为使用 托管标识) 的替代方法。

在服务主体和托管标识之间进行选择

如果 CycleCloud 将仅管理单个订阅中的群集，请考虑使用托管标识而不是服务主体。

但是，由于 CycleCloud 只能使用单个托管标识，因此在管理多个订阅或租户中的群集时，需要使用服务主体。

创建服务主体

Azure CycleCloud 需要一个有权管理 Azure 订阅的服务主体。 如果没有可用的服务主体，可以使用 Azure CLI 创建一个，如下所示。

注意

服务主体名称 必须 唯一。 在下面的示例中， CycleCloudApp 应替换为唯一名称。 如果使用现有名称运行以下命令，它将替换现有服务主体并使其失效。

az ad sp create-for-rbac --name CycleCloudApp --years 1

输出将显示一系列信息。 需要保存 、 appIdpassword和 tenant：

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

权限

(具有足够访问权限) 的最简单选项是将订阅的参与者角色分配给新的 CycleCloud 服务主体。 但是，参与者角色的特权级别高于 CycleCloud 所需的权限级别。 可以创建自定义 角色 并将其分配给 VM。

托管标识指南详细介绍了如何为服务主体创建适当的低特权 AD 角色。

若要使用服务原则向 CycleCloud 授予权限，请确保未选中“管理标识”复选框。