如何从不同下标中的资源分配托管身份

Question

下面是场景：

我们有三个具有三个不同订阅的VM，它们需要连接到诸如MI的存储帐户之类的通用服务。在这种情况下，我是否需要创建三个不同的MI，因为源位于三个不同的预订中，或者我可以使用用户分配的MI并使用具有三个VM的同一MI与存储（1：1关系）进行连接，即使它们位于不同的位置在Azure中订阅？

还是我们必须使用三个不同的MI？

Answer 1

我可以使用用户分配的MI并将同一个MI与三个VM进行存储连接（1：1关系），即使它们位于Azure中的不同子域中也是如此？

是的，可以。

基本上，用户分配的身份是Azure AD租户中的服务主体，您可以将其添加到不同订阅中的VM，要求是订阅需要位于同一AAD租户中。

将用户分配的身份添加到其他预订中的资源后，它显示如下。

如果要使用用户分配的VM身份访问存储，可以参考此doc，此文档适用于系统分配的身份，对于用户分配的身份，您需要在获取令牌时，请指定用户分配的身份的client_id，请参阅此doc。