agamil Asked: 2021-07-20 02:44:42 +0800 CST2021-07-20 02:44:42 +0800 CST 2021-07-20 02:44:42 +0800 CST 限制人类使用 Azure 服务主体 772 我们有一些人(他们自己)手动使用 SP 来运行命令并从 CLI 部署资源。我们需要防止这种情况,只允许服务使用 SP,而不是人类。有什么办法吗? azure azure-active-directory spn 1 个回答 Voted Best Answer Sam Cogan 2021-07-20T06:05:03+08:002021-07-20T06:05:03+08:00 如果用户获得服务主体的凭据,那么他们将能够使用它登录,没有办法阻止它。您的问题的解决方案是使用户难以获得凭据。 一种方法是使用证书而不是密码作为 SP 登录。如果您创建 SP 并仅为其分配证书,则用户将需要私钥才能登录。如果您随后确保此私钥仅安装在您的自动化服务器上,并且用户无权访问它,那么他们将难以使用它。 或者,您可以使用托管标识而不是服务主体。将 MI 分配给您的自动化机器,确保他们的用户无权访问它。
如果用户获得服务主体的凭据,那么他们将能够使用它登录,没有办法阻止它。您的问题的解决方案是使用户难以获得凭据。
一种方法是使用证书而不是密码作为 SP 登录。如果您创建 SP 并仅为其分配证书,则用户将需要私钥才能登录。如果您随后确保此私钥仅安装在您的自动化服务器上,并且用户无权访问它,那么他们将难以使用它。
或者,您可以使用托管标识而不是服务主体。将 MI 分配给您的自动化机器,确保他们的用户无权访问它。