我们说我的PowerShell代码会对Azure订阅采取特定操作。我知道它必须使用我的Azure用户名或Azure服务主体登录Azure。
在我的情况下,我想使用服务主管,因为很多人都会使用这个代码而我不想让每个人都能访问我的订阅。所以我只提供对此SP的访问权限。
我意识到,要使用SP登录,我需要在我的代码中包含App ID和密钥,如果我的代码被泄露,那么我们公司外部的人也可以使用App ID和Key登录并做我订阅的东西。
有什么方法可以保护自己免受这种安全风险?我看到还有一个关于Azure AD的部分,我可以指定可以访问服务主体(Azure应用程序)的用户/组。但它更像是双重身份验证吗?你能指点我正确的方向吗?
如果您还可以与我分享一些示例代码,我们将不胜感激。
答案 0 :(得分:0)
我建议您创建一个Azure自动化Runbook并为其附加webhook。然后,您可以创建一个小的html文件来执行Runbook(提示您需要的任何参数)。这样,用户只能运行您设置的代码(通过webhook),并且您可以定期循环webhook URL(通过删除它并重新创建新的URL)。