有些人会手动(自己)使用 SP 从 CLI 运行命令并部署资源。我们需要防止这种情况发生,并且只允许服务使用 SP,而不允许人类使用。有什么办法吗?
答案1
如果用户获得了服务主体的凭证,那么他们就能够使用该凭证登录,这是无法阻止的。解决您的问题的方法是让用户难以获得凭证。
一种方法是使用证书而不是密码以 SP 身份登录。如果您创建 SP 并只为其分配证书,则用户将需要私钥才能登录。如果您确保此私钥仅安装在您的自动化服务器上,并且用户无权访问它,那么他们将难以使用它。
或者,您可以使用托管身份而不是服务主体。将 MI 分配给您的自动化机器,确保用户无权访问它。