【发布时间】:2017-07-03 21:46:07
【问题描述】:
在 AWS 中,您可以将角色分配给 VM,然后当实例向 AWS 开发工具包进行查询时,它会授权该实例。我正在 Azure 中寻找类似的功能,或者可以让我做类似的事情。
我找到了this post,这表明 AWS 无法做到这一点。有什么解决方法吗?我真的不希望系统管理员必须登录到实例并提供他们的 Azure Active Directory 凭据才能对其进行授权。
【问题讨论】:
【发布时间】:2017-07-03 21:46:07
【问题描述】:
很好的问题:)。我建议您再等几天,我们正在进行一些似乎符合您需要的事情。我创建了这个issue for tracking。
最简单的方法是为这些虚拟机创建服务主体凭据。为此,请执行post deployment script 来安装CLI 和“az ad sp create-for-rbac --sdk-auth >~/mycredentials.json”。然后,您可以启动 SDK 脚本来读取此凭证文件。
如果您想查看“create-for-rbac”命令已经存在(--sdk-auth 是新的选项),因此您可以看到您可以指定此命令所需的所有范围和权限.
(我在 MS 拥有 Azure SDK for Python)
【讨论】:
-
感谢您提供此信息。我对安装 Azure CLI 并在实例上运行此凭据生成器的部署后脚本如何解决问题感到有些困惑。为了运行此命令,需要登录 Azure CLI,这需要管理员干预。正确的用法实际上是让管理员在他们自己的系统(或 Portal Bash Shell)上运行此命令以生成凭据文件,然后在创建实例时将凭据作为用户数据传递给实例吗?
-
我的另一个问题是关于“--years”参数,有没有办法将其设置为无穷大?
-
好点子,给我几天时间考虑一下并与 VM 团队讨论。
-
在使用方面,Azure CLI 命令是从管理员端还是实例 VM 端使用?