Безопасность на основе Azure/resourcfe на основе групп и CloudServiceManagementClient

Question

Мы изучаем использование Azure Jobs для платформы с несколькими арендаторами, но хотим понять, как лучше обеспечить безопасность для нее, без использования сертификата, который имеет доступ ко всей нашей Azure Счет.

У нас есть группа ресурсов, называемая «Планировщик», и для каждого арендатора мы создаем коллекцию работ с идентификатором тендера «Арендатор {арендатор.Id}».

В настоящее время мы делаем это с использованием SchedulerManagementClient и передаем в CertificateCloudCredentials. Мы могли бы использовать токен для этого, но я считаю, что он по-прежнему имеет ту же проблему - в том, что учетные данные имеют доступ к полной лазурной учетной записи, чего мы не хотим.

В идеале мы хотели бы заблокировать создание группы ресурсов «Планировщик» и создать для нее сертификат/токен.

Есть ли способ сделать это? Есть ли лучший способ делать то, что мы делаем?

Answer 1

Хорошо, я понял это, как всегда, кажется, когда вы, наконец, публикуете что-то на StackOverflow. Все осложнялось тем, что я использовал старые библиотеки управления (Microsoft.WindowsAzure.Management), а не новые библиотеки (Microsoft.Azure.Management).

В принципе мне нужно было создать приложение, а затем назначить роли приложения так же, как и пользователи. Это также помогло: https://azure.microsoft.com/en-gb/documentation/articles/resource-group-create-service-principal-portal/