Предоставьте роль Security Reader для Azure участника службы в азии

Question

Я пытаюсь разрешить субъекту службы в Azure читать из Azure Active Directory для выполнения поиска в AAD при использовании Terraform.

Я почти уверен, что роль требовалась это роль Security Reader, однако я не уверен, какой должен быть контекст для добавления субъекта службы в роль. Я предполагаю, что он указан на tenantId, но не уверен, что формат, который нужен команде az role assignment?

Код, который я сейчас использую, выглядит следующим образом: -

sp=$(az ad sp list --query "[?displayName=='[my app]'].appId" --output tsv)
tenantId=$(az account show --query tenantId --output tsv)
az role assignment create --role "Secuity Reader" --assignee $sp --scope $tenantId

Но это не правильно проверяет область действия, так что это явно не просто идентификатор арендатора. Я знаю, что для уровня подписки это будет /subscriptions/[subscription id]... et c, но я не знаю, какой формат будет для разрешений уровня аренды?

Answer 1

Команда az role assignment является командой на основе подписки, с ее помощью вы можете добавлять назначения только к указанным c подпискам.

Что вы ищете, так это добавление роли в Azure AD.

Для предварительного просмотра существует модуль powershell, я не знаю, есть ли он для CLI.

https://docs.microsoft.com/bs-latn-ba/azure/active-directory/users-groups-roles/roles-assign-powershell