我们的客户希望使用服务主体来生成新的订阅,以便恶意员工无法拥有所有者对新创建的订阅的访问权限。我已经通过CLI生成了服务主体,但是要使其成为电子帐户的所有者,主体需要一个电子邮件地址,该地址当然不存在。我不能让该服务负责人成为帐户所有者
我已经尝试根据以下docs.microsoft.com-entries实现方案:
服务主体的生成是通过以下方式完成的:
az ad sp-rbac创建--name%name_of_the_account%
答案 0 :(得分:0)
@NormanPunge分配给服务主体的默认RBAC角色是参与者。
您可以使用以下命令为服务主体提供所有者角色
az role assignment create --assignee <your Service Principal ID> --role Owner
az role assignment delete --assignee <your Service Principal ID> --role Contributor