Как создать подключение к службе Azure DevOps для нескольких групп ресурсов

У меня есть проект, ресурсы которого охватывают 3 группы ресурсов. Я хочу создать соединение службы, охватывающее все эти группы ресурсов, чтобы я мог управлять доступом в одном месте через это соединение службы. В настоящее время я создал 3 сервисных подключения, привязанных к каждой группе ресурсов. Я не хочу распространять это на подписку, поскольку в этой подписке есть другие команды, занимающиеся проектами. Это вызовет у меня проблемы с обслуживанием и аудитом в будущем.

Если я создам участника-службы и назначу его 3 группам ресурсов, а затем присоединю этого субъекта-службы к соединению службы, будет ли это хороший дизайн?

Есть ли лучший способ добиться этого?


azure-devops azure-pipelines azure-active-directory service-principal serviceconnection
person Venky    schedule 26.09.2019    source источник
comment
Привет, Венки. Полезен ли ответ bbaywet для решения твоей проблемы?   -  person Hugh Lin    schedule 30.09.2019

Ответы (1)


arrow_upward
1
arrow_downward

Вам не нужно создавать субъект-службу вручную. Вы можете использовать интерфейс для создания субъекта-службы, предоставления разрешений для первой группы ресурсов и автоматической настройки соединения для вас.
Затем, как только это будет сделано, посмотрите на соединение службы, чтобы идентифицировать службу главного в использовании, и предоставьте ему разрешения для других групп ресурсов.
И да, это хороший дизайн, единственный недостаток по сравнению с 3 принципалами службы заключается в том, что вы имеете меньшую степень детализации кто в Azure DevOps имеет доступ к каждой из этих трех групп ресурсов посредством разрешений на подключение (-и) сервисной службы (поскольку у вас есть только одно, а не три)

person baywet    schedule 26.09.2019
comment
Спасибо. Вы знаете, как автоматизировать весь этот процесс с помощью powershell / cli / ARM? - person Venky; 26.09.2019
comment
Я предлагаю вам задать для этого отдельный вопрос, но вы можете использовать PowerShell для создания субъектов-служб приложений docs.microsoft.com/en-us/powershell/azure/azurerm/ и назначьте его группе ресурсов. azure.microsoft.com/en-us/resources / templates / Хотя не знаю, как автоматизировать часть подключения службы в ADO - person baywet; 26.09.2019
comment
Единственное возможное предупреждение здесь заключается в том, что если вы отредактируете соединение через интерфейс Azure DevOps, оно может создать новый ServicePrincipal и / или удалить ваши расширенные разрешения. - person Joshua Drake; 29.04.2020