我希望授予第三方应用程序 API 对我的 Azure 租户的访问权限,以便在某个网站(Azure 术语中为“应用服务”)上安装 TLS 证书。
但是,分配贡献者角色似乎有点过分。可以这么说,我不想把王国的钥匙交给别人。
我是否可以利用较小的角色来实现这一目标?我想在这里应用最小特权原则。
- 编辑 -
- 期望的最终状态
安全角色配置允许第三方应用程序在应用服务上上传和安装 TLS 证书,但仅此而已。
- 具体问题
贡献者角色授予租户内近乎系统范围的权限,这些权限是应用程序不需要的(因此也不应该拥有)。
- 有关环境的信息
该应用程序通过 REST API 或 .NET SDK 连接到 Azure,因此需要服务主体的 ID 和客户端密钥以及租户 ID。
- 尝试的解决方案
我查阅了官方文档,寻找特定于此目的的角色(仅限于配置应用服务),但我没有找到。通过在这里发帖,我希望找到一个有相同场景直接经验的人(我想这是一个相当常见的场景),并且已经满意地解决了这个问题。