限制人類使用 Azure 服務主體

我們有一些人（他們自己）手動使用 SP 來執行命令並從 CLI 部署資源。我們需要防止這種情況，只允許服務使用 SP，而不是人類。有什麼辦法嗎？

如果使用者獲得服務主體的憑據，那麼他們將能夠使用它登錄，沒有辦法阻止它。您的問題的解決方案是使使用者難以獲得憑據。

一種方法是使用證書而不是密碼作為 SP 登錄。如果您創建 SP 並僅為其分配證書，則使用者將需要私鑰才能登錄。如果您隨後確保此私鑰僅安裝在您的自動化伺服器上，並且使用者無權訪問它，那麼他們將難以使用它。

或者，您可以使用託管標識而不是服務主體。將 MI 分配給您的自動化機器，確保他們的使用者無權訪問它。

引用自：https://serverfault.com/questions/1070013