根据documentation,您可以创建与Azure的服务连接,该连接允许用户访问给定订阅的所有资源组或限制为某个资源组:
资源组:保留为空以允许用户访问预订中定义的所有资源,或选择要限制用户访问的资源组(用户将只能访问该组中定义的资源)。
因此,如果您只想授予对某个Web应用程序的访问权限,则available选项是创建新的服务主体,授予对资源的访问权限并在服务连接上对其进行配置。
有什么方法可以在不创建新服务主体的情况下进行操作?我的意思是:在创建具有自动安全性的服务连接时,可以选择资源(不仅是资源组),这很不错,但是显然不可用。
我们计划将很多webapp(由不同团队管理)迁移到Azure,并为每个webapp创建一个新的委托人(以保证所有者团队作为唯一允许部署的对象)似乎不切实际。< / p>
致谢。
答案 0 :(得分:0)
恐怕不可能限制所有者团队仅使用服务连接将其部署到特定的Web应用程序。因为除了为每个Web应用程序创建一个新的服务主体外,没有任何方法可以限制对Azure devops服务连接中的资源组中特定Web应用程序的访问。
当前,您将必须为每个Web应用程序创建新的服务原理。您可以submit a user voice(单击建议一项功能并选择 Azure devops )到Microsoft开发团队。希望他们会在将来的sprint中考虑添加此功能。