可以使用 required_resource_access 的 azuread_application 为 terraform 中的应用注册分配应用角色访问权限。这将使另一个应用程序/服务主体可以访问我的 API 的自定义角色。
我想为托管身份做同样的事情,但无法找到一种使用 terraform 做到这一点的方法。可以使用 powershell 来完成,例如:
New-AzureADServiceAppRoleAssignment -ObjectId $managedIdentityObjectId -Id $appRoleId -PrincipalId $managedIdentityObjectId -ResourceId $serverServicePrincipalObjectId
这个对图形 API 的调用将达到我认为的相同目的:
POST /servicePrincipals/{objectId}/appRoleAssignments
但如果可能的话,我真的很想用 terraform 来做到这一点。
答案 0 :(得分:1)
Terraform 中没有这样的内置资源来实现这一点,这里唯一相关的东西 - azuread_application_app_role,如果你想这样做,解决方法是通过 {{ 在 Terraform 中手动运行 powershell 命令3}}。