了解 Azure 服务主体

Question

我想创建一个服务原则，以允许部署到我订阅下的一个或多个资源。

• 我有一个 MSDN 订阅，可以让我在 Azure 上每月花费 40 英镑。
• Azure Active Directory 由我的公司维护。
• 我被设置为普通用户
• 我已经通过门户创建了一个带有密钥的服务原则。
• 当我尝试通过 Octopus Deploy 的 SP 进行连接时，我收到以下消息：

无法验证 Azure 帐户：具有对象 ID 的客户端“xxxx” “xxxx”无权执行操作 'Microsoft.Resources/subscriptions/resourcegroups/read' 超出范围 '/subscriptions/xxxx'。

据我所知，SP 位于租户级别。那么这是否意味着我可能没有任何权限来创建具有适当访问权限的 SP 来执行我需要的操作，并且我必须让管理员来执行此操作？

我很难理解这种身份验证方法。因此，非常感谢任何有助于澄清这一切如何组合在一起的信息。

例如

• 我可以将 SP 限制为我的 MSDN 订阅吗？
• 我什至可以将其限制为资源组/资源吗？
• ...

Answer 1

就权限而言，服务主体与普通用户没有区别。您的服务主体无权访问该特定订阅。您需要将这些权利授予服务主体。您可以使用 portal\powershell\cli\SDK 来执行此操作。 Sample link.