问题描述
一位同事在 azure 自动化帐户中创建了一个运行方式帐户。尽管我拥有此自动化帐户的所有者权限,但我没有看到此 Run as account。我已经给了自己订阅的所有者权利,之后我开始看到它。对于订阅级别的贡献者权限,它也不会被看到。
我想使用最小特权权限原则。那么在 azure 自动化帐户中查看运行方式帐户的最低权限是多少?
解决方法
如果我们要在 Azure 自动化帐户中创建 Run as account,我们需要执行一些步骤。每一步都需要不同的权限。
-
创建 Azure AD 应用程序。完成该步骤后,我们需要 Azure AD 角色 Application Developer
-
向应用程序添加凭据。通过这一步,我们需要 Azure AD 角色 Application Administrator
-
创建并获取 Azure AD 服务主体。做这一步,我们需要 Azure AD 角色应用管理员
-
为指定的主体分配或获取 Azure 角色。我们需要这些 Azure RABC 权限
- Microsoft.Authorization/Operations/read
- Microsoft.Authorization/permissions/read
- Microsoft.Authorization/roleDefinitions/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/delete
-
创建或删除自动化证书。完成这一步,我们需要成为资源组的贡献者。
有关详细信息,请参阅official document