#powershell #azure
#powershell #azure
Вопрос:
Я хочу получить сведения о подписке Azure моего клиента. Но я не хочу запрашивать специальное разрешение у клиента. Что мне нужно, так это самый минимум информации от моего клиента, чтобы я мог войти в систему с помощью powershell или rest api и прочитать статус заданий runbook.
Если я войду в систему с учетной записи администратора подписки, я смогу легко получить эти сведения. Но вы понимаете, что невозможно получить учетные данные учетной записи администратора моего клиента.
Пожалуйста, предложите какой-нибудь обходной путь.
Ответ №1:
Что вам нужно сделать, это создать пользователя в Azure Active Directory и предоставить этому пользователю определенные права, используя либо портал Azure, либо PowerShell Cli SDK. Скажите «прочитать все» или «прочитать свойства желаемой учетной записи автоматизации». Если вы хотите использовать что-то вроде super minumim, сначала вам нужно создать пользовательскую роль. https://azure.microsoft.com/en-us/documentation/articles/role-based-access-control-custom-roles /
Ответ №2:
Если ваш клиент разместил определенные ресурсы в группе ресурсов, они могут предоставить вам разрешения только для этой группы ресурсов (включая разрешения только для чтения). Это позволило бы вам иметь доступ к необходимым ресурсам, не имея доступа к другим областям их подписки.
Комментарии:
1. Если вы хотите пойти этим путем, вы могли бы также назначить разрешение ресурсу, а не группе ресурсов…
2. Я не согласен. Если у вас есть, скажем, дюжина ресурсов в приложении, теперь вы возлагаете на клиента обязанность добавлять разрешения для каждого текущего и будущего ресурса. И если разрешения необходимо отозвать, вам также необходимо выполнить процедуру для каждого отдельного ресурса. Группа ресурсов служит ограничительной рамкой для всех связанных ресурсов. Далее, операционная система может просматривать группу ресурсов как объект на своем собственном портале, выполнять детализацию по ней и т.д.
3. Ну, я не согласен с вашим несогласием 😉 op сказал, что ему нужно только посмотреть на статус runbook, почему вы предоставляете разрешение на чтение для всего rg, когда op конкретно сказал, что предпочитает минимальный уровень?
4. Всем привет!! Спасибо за ваши ценные предложения, я думаю, что для моих требований я выберу создание пользовательской роли, а не назначение этой роли из Azure Portal -> Subscription -> Access Control (IAM) пользователю, которого нет в AD клиента, как (user@otherdomain.com ). Я надеюсь, что я на правильном пути, пожалуйста, поправьте меня, если я ошибаюсь.