我们的客户希望使用服务主体来生成新的订阅,以便恶意员工没有对新创建的订阅的所有者访问权限。我已经通过 CLI 生成了一个服务主体,但为了使他成为 ea-portal 中的帐户所有者,该主体需要一个电子邮件地址,而该电子邮件地址当然不存在。我无法使该服务主体成为帐户所有者
我已经尝试根据以下 learn.microsoft.com-entries 实现场景:
服务主体的生成是通过以下方式完成的:
az ad sp create-for-rbac --name %name_of_the_account%
最佳答案
您不需要电子邮件地址。注册下的现有帐户所有者必须向服务主体 (SP) 授予“订阅创建者”角色。
创建 SP 后的第一步是将所述角色分配给 SP。按照描述使用 REST API here ,现有账户所有者可以直接登录该页面并发送请求。您需要按照描述设置一些属性here 、“SubscriptionCreator”角色的 billingRoleAssignmentName
等,其中 a0bcee42-bf30-4d1b-926a-48d21664ef71
。在 HTTP 正文中,您可以通过指定 principalId
和 principalTenantId
属性来定义哪个 SP 将获得这些权限。
之后,SP 可以通过编程方式在注册下创建订阅,请参阅 here了解详情。
关于azure - 通过 Powershell 在 EA 门户中激活服务主体作为帐户所有者?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56645576/