Question

我们的客户希望使用服务主体来生成新的订阅，以便恶意员工无法拥有所有者对新创建的订阅的访问权限。我已经通过CLI生成了服务主体，但是要使其成为电子帐户的所有者，主体需要一个电子邮件地址，该地址当然不存在。我不能让该服务负责人成为帐户所有者

我已经尝试根据以下docs.microsoft.com-entries实现方案：

https://docs.microsoft.com/en-us/azure/azure-resource-manager/programmatically-create-subscription?tabs=azure-powershell

https://docs.microsoft.com/en-us/azure/azure-resource-manager/grant-access-to-create-subscription?tabs=rest%2Crest-2

服务主体的生成是通过以下方式完成的：

az ad sp-rbac创建--name％name_of_the_account％

Answer 1

@NormanPunge分配给服务主体的默认RBAC角色是参与者。

您可以使用以下命令为服务主体提供所有者角色

az role assignment create --assignee <your Service Principal ID> --role Owner
az role assignment delete --assignee <your Service Principal ID> --role Contributor

有关更多信息： https://docs.microsoft.com/en-us/azure/azure-resource-manager/grant-access-to-create-subscription?tabs=azure-cli%2Cazure-cli-2#grant-access

是否通过Powershell在EA门户中将服务负责人激活为帐户所有者？

1 个答案: