我有两个订阅。
在一个订阅上,我运行逻辑应用程序,并且在逻辑应用程序上具有天蓝色功能。
另一个订阅包含通过逻辑应用程序和azure函数自动化的目标资源。
为了运行与其关联的Logic Apps和Azure功能,我需要在目标订阅上具有哪些特权?我希望能够执行诸如停止VM,更改NSG设置,运行恶意软件扫描等操作
我是否需要使用对两个订阅都拥有所有者权限的帐户来运行逻辑应用?
关于, 凯莉
答案 0 :(得分:1)
最好使用service principal进行集中式访问控制。
这样,您可以使用服务主体对资源进行身份验证和授权操作。也可以在Logic Apps中为Azure Resource Manager连接器进行配置。
另一种选择是使用Managed Identity,但这仅受HTTP Action支持。
即使在Function Apps中,也可以使用服务主体详细信息来设置Managed Identity或使用Client Credentials Flow。
关于此服务主体的确切权限,您可以use this reference个内置角色来提供精细控制。例如,仅停止/启动VM,您的服务主体将需要Virtual Machine Contributor。
您还可以通过creating custom roles提供对资源的更好访问。