我在两个不同的Azure devops项目中拥有以下Azure devops管道,一个用于基础架构团队,另一个用于应用程序开发团队
我不想授予Azure订阅所有者帐户或Azure订阅所有者对Azure devops服务连接的权限。
我为每个管道创建了两个单独的服务帐户。现在,分配给服务帐户的所有角色是什么,以便Azure Devops项目使用服务帐户/服务主体(手动)来连接和执行活动。
这是生产部署的正确方法吗?
答案 0 :(得分:1)
据我所知,无论是命令还是REST API,都只能手动创建服务主体。对于生产部署,必须严格控制许可。并且不要对服务主体给予过多的许可是一种安全的方法,并且可以防止误操作。如果内置角色也具有比我们所需更多的权限,则对权限的更严格控制是根据需要创建自定义角色。查看有关Create Custom Role的详细信息。对于ACR,如果需要,还可以对令牌进行更精细的控制here。