我想使用服务主体将单个 ARM 模板部署到我们的 Azure 帐户。
我找不到有关如何授予尽可能少的权限的文档,但似乎实现此目的的唯一方法是在订阅上授予贡献者。
有没有办法限制我的服务主体上的角色仅部署ARM 模板或至少将其限制为单个资源组?
最佳答案
实际上,对于每个模板,您可以通过查看模板来找出可能的最小权限,它们将是资源类型+/写入。以及创建部署的权限Microsoft.Resources/deployments/write
。
但是将资源组交给个人贡献者确实更容易。如果您担心安全性,可以使用 Privileged Identity Management在 Azure AD 中
关于azure - 如何在不授予整个订阅所有权的情况下部署 ARM 模板?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58285116/