Наш клиент хочет использовать субъект-службу для создания новых подписок, чтобы злонамеренный сотрудник не имел доступа владельца к вновь созданным подпискам.Я уже сгенерировал принципала службы через CLI, но чтобы сделать его владельцем учетной записи на ea-портале, субъекту нужен адрес электронной почты, который, конечно, не существует.Я не могу сделать этого участника службы владельцем учетной записи
Я уже пытался реализовать сценарий на основе следующих записей docs.microsoft.com:
https://docs.microsoft.com/en-us/azure/azure-resource-manager/programmatically-create-subscription?tabs=azure-powershell
https://docs.microsoft.com/en-us/azure/azure-resource-manager/grant-access-to-create-subscription?tabs=rest%2Crest-2
Генерация субъекта службы была выполнена с помощью:
az ad sp create-for-rbac --name% name_of_the_account%
@ NormanPunge Роль RBAC по умолчанию, назначенная для участника службы, является Contributor.
Вы можете предоставить роль владельца субъекту службы, используя следующую команду
az role assignment create --assignee <your Service Principal ID> --role Owner az role assignment delete --assignee <your Service Principal ID> --role Contributor
Для получения дополнительной информации:https://docs.microsoft.com/en-us/azure/azure-resource-manager/grant-access-to-create-subscription?tabs=azure-cli%2Cazure-cli-2#grant-access