Как создать подключение службы DevOps Azure к нескольким группам ресурсов

Question

У меня есть проект, ресурсы которого охватывают 3 группы ресурсов.Я хочу создать служебное соединение со всеми этими группами ресурсов, чтобы я мог управлять доступом в одном месте через это служебное соединение.В настоящее время я создал 3 сервисных подключения к каждой группе ресурсов.Я не хочу включать его в подписку, поскольку в этой подписке есть другие команды, которые обрабатывают проекты.В будущем у меня возникнут проблемы с обслуживанием и аудитом.

Если я создаю субъект-службу и назначаю его 3 группам ресурсов, а затем присоединяю этого субъекта-службы к соединению со службой, будет ли это хорошим вариантом?

Есть ли лучший способ добиться этого?

Answer 1

Вам не нужно создавать субъект-службу вручную. Вы можете использовать интерфейс для создания субъекта службы, предоставления разрешений для первой группы ресурсов и автоматической настройки подключения для вас .
Затем, как только это будет сделано, посмотрите на подключение службы, чтобы определить субъект службы и предоставить ему разрешения для других групп ресурсов .
И да, это хороший дизайн, единственный недостаток по сравнению с 3 принципалами службы заключается в том, что у вас меньше детализации по сравнению с тем, кто вУ AzOv DevOps есть доступ к каждой из этих 3 групп ресурсов с помощью разрешений на подключении к сервисным службам (поскольку у вас есть только одна, а не 3)