Azure Devops-服务主体手动设置?
我在两个不同的Azure devops项目中有以下Azure devops管道,一个用于基础设施团队,另一个用于应用程序开发团队
- 使用Terraform提供网络、ACR和AKS基础设施
- 使用Helm部署AKS应用程序
我为每个管道创建了两个独立的服务帐户。现在,分配给服务帐户的所有角色是什么,以便Azure Devops项目使用服务帐户/服务主体(手动)来连接和执行活动。
这是生产部署的正确方法吗?
共有1个答案
正如我所知,服务主体只能手动创建,不管是命令还是REST API。对于生产部署,有必要严格控制权限。并且不给服务主体过多的权限是一种安全的方式,为误操作提供了预防措施。更严格的权限控制是,如果内置角色的权限比我们需要的更多,则根据需要创建自定义角色。请参阅有关创建自定义角色的详细信息。对于ACR来说,如果需要的话,这里对令牌也有更好的控制。
-
当我使用Office 365的配置api时(通过连接msolservice或https://provisioningapi.microsoftonline.com/provisioningwebservice.svc)我正在使用用户名和密码。当我连接时,我会自动使用powershell或通过web服务和office365部署(如联合/解除联合本地域) 我面临的问题是密码最终会过期,我的服务会中断,
-
我想使用Google服务帐户JWT令牌获取Azure服务主体(SP)的临时凭据。这是从GKE工作负载调用Azure API所必需的,而无需在GKE中存储长期SP凭据。 这样的联盟对GCP来说可能吗- [1]https://cloud.google.com/iam/docs/workload-identity-federation [2] https://docs.aws.amazon.com/IA
-
我有一个keydeport服务器在运行。以及作为资源服务器的Spring Boot应用程序。我可以验证并获取令牌,spring boot应用程序将接受令牌。但是当我想从校长那里得到用户名时,我会得到一个UUID,而不是我的电子邮件或用户名。我还为我的KeyClope添加了一个映射器,将preferred_用户名映射到用户名。它正在工作。 JWT信息 我的spring应用程序属性:
-
当我用空手道开始模拟发球时,有没有办法将端口设置为我想要的端口。启动,而不是像这样获取端口,这将在某个端口启动服务器并返回它: 有类似的可能性:
-
Debug 字段 该设置默认值是 false,当发生错误时,只返回错误信息本身。 当该字段设置为 true 时,当发生 panic 时,会将整个 panic 的错误堆栈信息返回给客户端,在用户进行 hprose 服务开发时,该设置可以帮助你快速定位错误位置。 ErrorDelay 字段 该设置为整型值,默认值为 10 秒。 该字段表示在调用执行时,如果发生异常,将延时一段时间后再返回给客户端。 在
-
我有广播接收器 但是服务不启动,当我启动我的设备日志log.d(“test”,“start”);不要显示我如何修复它?