Usando a entidade de serviço

Uma entidade de serviço Azure AD pode ser usada para permitir que o Azure CycleCloud gerencie clusters em sua assinatura (como alternativa ao uso de uma Identidade Gerenciada).

Escolhendo entre uma entidade de serviço e uma identidade gerenciada

Se o CycleCloud gerenciar apenas clusters em uma única assinatura, considere usar uma Identidade Gerenciada em vez de uma Entidade de Serviço.

No entanto, como o CycleCloud só pode usar uma única Identidade Gerenciada, o uso de Entidades de Serviço é necessário ao gerenciar clusters em várias assinaturas ou locatários.

Criar uma entidade de serviço

O Azure CycleCloud requer uma entidade de serviço com direitos para gerenciar sua assinatura do Azure. Se você não tiver uma entidade de serviço disponível, poderá criar uma usando a CLI do Azure, conforme mostrado abaixo.

az ad sp create-for-rbac --name CycleCloudApp --years 1

A saída exibirá uma série de informações. Você precisará salvar , appIdpassworde tenant:

"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"displayName": "CycleCloudApp",
"name": "http://CycleCloudApp",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Permissões

A opção mais simples (com direitos de acesso suficientes) é atribuir a Função de Colaborador para a Assinatura à nova Entidade de Serviço cycleCloud. No entanto, a Função colaborador tem um nível de privilégio mais alto do que o CycleCloud requer. Uma Função personalizada pode ser criada e atribuída à VM.

O Guia de Identidade Gerenciada tem detalhes sobre como criar uma função AD de privilégio inferior apropriada para a entidade de serviço.

Para usar um Princípio de Serviço para conceder permissões ao CycleCloud, verifique se a caixa de seleção "Gerenciar Identidade" está desmarcada.