Azure Хранилище BLOB-объектов: добавлена ​​проблема назначения ролей

Question

В Azure DevOps я создал служебное соединение (тип: Azure Resource Manager), чтобы иметь возможность загружать файлы в Azure Blob Storage.

Затем я добавил Storage Blob Data Contributor роль для этого субъекта службы в Access Control (IAM) в моей Azure учетной записи хранения путем поиска имени субъекта службы в Select.

Я заметил, что каждый раз, когда я создаю новый конвейер DevOps, который использует (то же самое) подключение к службе, мне нужно снова добавить роль Storage Blob Data Contributor, потому что в Select есть несколько элементов с одинаковым именем (субъекта службы). Непонятно, почему существует несколько предметов, а также неясно, какой из них самый новый, так что я просто добавляю все предметы в качестве обходного пути.

Есть ли что-то, чего мне не хватает, чтобы избежать попадания в десятки элементы для выбора при назначении ролей для нового конвейера, который использует то же подключение к службе?

Answer 1

Как дизайн, одна карта подключения службы к одному принципалу службы.

Вы выдаете в основном так, как если бы вы никогда не назначали фактическое service principal id этому сервисному соединению во время его настройки. Когда система обнаружит, что там нет принципала, она автоматически создаст его для azure.

Пожалуйста, укажите полное значение параметров там, включая service principal id и secret, при создании службы. соединение.

Затем вы можете просто предоставить разрешение используемому в настоящее время субъекту службы.