使用ARM使用MSI设置App Service访问权限

时间:2018-03-27 20:00:50

标签: azure-resource-manager azure-keyvault azure-msi

密钥保管库文档中列出了两个属性:

  • objectId string是Vault的Azure Active Directory租户中的用户,服务主体或安全组的对象ID。对象ID对于访问策略列表必须是唯一的。
  • applicationId string否代表委托人发出请求的客户端的应用程序ID - 全局唯一标识符

问题:

  • 我应该将objectId用于MSI principalId吗?
  • 使用MSI时,applicationId的概念是否为还原剂。在MSDN上有如此多的文档,我很难弄清楚采用哪种方法,以及在使用MSI时applicationId / secrets的概念是否还原。
  • 是否需要TenantId?

1 个答案:

答案 0 :(得分:0)

  

我应该将objectId用于MSI principalId吗?

是的,你应该使用MSI的对象ID。你可以通过Power Shell获得它。例如:

Get-AzureRmADServicePrincipal -SearchString "azure-cli-2017-04-13-02-33-36"\

或者在Azure门户网站上获取它。

enter image description here

  

使用MSI时,applicationId的概念是否会减少。   在MSDN上有这么多文档,我很难过   弄清楚采取哪种方法,以及是否采用的概念   使用MSI时,applicationId / secrets是减少的。

创建MSI时,它将创建服务主体,applicationId是sp的应用程序ID。

  

是否需要TenantId?

是的,这是必需的。