如何查看资源是否由 Azure 服务主体创建？答案

【问题标题】：How to view if a resource was created by a Azure service principal?如何查看资源是否由 Azure 服务主体创建？
【发布时间】：2021-06-10 16:36:38
【问题描述】：

我使用 az login --service-principal 登录到 azure 并创建了一个资源组。如何找出表明资源组是由服务主体创建的审计线索？当我选择“审计日志”时，它提到我自己的用户 ID 已经创建了它。这怎么可能？为什么它报告我创建了它，而事实是我使用客户端 ID 和密码登录并创建了资源组？

【问题讨论】：

标签： azure azure-active-directory azure-resource-group azure-service-principal

【解决方案1】：

请确保您使用az login --service-principal --username APP_ID --password PASSWORD --tenant TENANT_ID 以服务主体登录。

az group create -l westus -n AllenTestRGroup008创建资源组后，我打开Activity log看到这里只有一个操作：

由发起的事件是这个操作的调用者。所以在我的例子中，testMultiMSA 是创建资源组的服务主体。

如果我单击日志了解更多详细信息，我可以在 JSON 中找到 caller 属性。它是服务主体的对象 ID。

你可以从你身边检查。

【讨论】：

嗨，艾伦，这对我不起作用。我仍然看到创建的用户是我自己而不是服务主体！不过有两个区别。 1. 我的服务主体租户没有订阅。所以我使用了参数--allow-no-subscription 2。创建RG时，我使用了--subscription“subsid”和az group命令在SP拥有Contributor访问权限的订阅中创建rg。
@ArunPrakashNagendran 我不明白，如果您的服务主体租户没有订阅，SP 将如何让贡献者访问订阅？此订阅来自哪里？
@ArunPrakashNagendran 好的，根据您之前的帖子，我明白了您的意思。让我测试一下。
@ArunPrakashNagendran 但我仍然无法将租户 A 中订阅的贡献者角色分配给租户 B 中的服务主体。你是如何做到的？（您之前帖子中的第 4 步）
感谢您抽出宝贵时间进行测试。我转到租户 A 中订阅的访问控制 IAM -> 转到角色分配 -> 搜索服务原则/应用程序，然后选择它进行分配。另一件事是，服务主体是作为租户 B 中应用程序注册的一部分创建的。租户 A 是我的组织 AD，他们不会让我在那里创建 Svc 主体。因此，我求助于创建自己的 AD/租户。如果我的解释让您感到困惑，我很抱歉。