Azure
限制人類使用 Azure 服務主體
我們有一些人(他們自己)手動使用 SP 來執行命令並從 CLI 部署資源。我們需要防止這種情況,只允許服務使用 SP,而不是人類。有什麼辦法嗎?
如果使用者獲得服務主體的憑據,那麼他們將能夠使用它登錄,沒有辦法阻止它。您的問題的解決方案是使使用者難以獲得憑據。
一種方法是使用證書而不是密碼作為 SP 登錄。如果您創建 SP 並僅為其分配證書,則使用者將需要私鑰才能登錄。如果您隨後確保此私鑰僅安裝在您的自動化伺服器上,並且使用者無權訪問它,那麼他們將難以使用它。
或者,您可以使用託管標識而不是服務主體。將 MI 分配給您的自動化機器,確保他們的使用者無權訪問它。