我有一个 SPN/AppRegistration,其贡献者可以访问订阅 1、2。
外部服务将使用此 SPN 来访问订阅 1,2 以部署资源。
此外部服务如何列出 SPN 贡献者有权访问的所有订阅?
最佳答案
没有端点可以在 Azure Rest API 中列出 SPN 的所有订阅。
检查 SPN 有权访问哪些订阅的最快方法是使用 Azure CLI .
使用 SPN 登录:
az login --service-principal --username APP_ID --password PASSWORD --tenant TENANT_ID
然后将列出 SPN 有权访问的所有订阅。
但它不会显示角色名称“contributor”。因此,只需确保 SPN 除了“贡献者”之外没有任何角色。
如果 SPN 的角色不是订阅的“贡献者”,则该订阅也会在此处列出。在这种情况下,请在 Powershell 中选择订阅,然后使用 az role assignment list --query "[?principalName=='{SPN_name}'].roleDefinitionName"
查看其在此订阅中的角色。
关于azure - 如何查看服务主体有权访问的 Azure 订阅列表?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68174898/