我正在使用 terraform 工具创建 Azure Active Directory 应用程序。现在,为了做到这一点,我需要创建一个具有可用于通过 terraform 创建应用程序的权限的服务主体。
所需的权限是Application.ReadWrite.All,但无法授予它(公司限制,因为它不是特定于我的事情),因为它可用于操纵所有应用程序(其他一些团队)事件目录下使用相同 AD 的公司。
是否有任何方法可以创建与 azure ad + azure 订阅有关的服务原则,以便我的服务原则有权操作我的订阅下的所有应用程序?
虽然 Application.ReadWrite.OwnedBy 这个已经存在,但还不足以创建应用程序等。
任何其他方法在安全性非常高的公司中获得此类访问权限都是不可行的。
最佳答案
正如评论中提到的 WaitingForGuacamole Application.ReadWrite.OwnedBy 也可以用于在 Azure AD 中创建应用.在订阅中授予服务主体贡献者访问权限将为您创建/管理资源提供访问权限 通过使用 terraform-provider-azurerm 但它不会授予使用 terraform- 创建/管理 Azure AD 资源的访问权限提供商-azureread。
我仅使用 application.readwrite.ownedby 权限进行了测试,使用以下代码创建添加应用程序:
provider "azuread" {
client_id = "25a29c83-xxxxx-xxxxx-xxxxx-e2bbaed816f1"
client_secret = "F0T7Q~cjAxxxxxxxxxxxxxxxxqbS"
tenant_id = "ab078f81-xxxxxxxxxxxxxxx620b694ded30"
}
# Create an application
resource "azuread_application" "example" {
display_name ="aaaa"
}
输出:
关于azure - Terraform azuread 服务原则权限 权限,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70657129/