要在Azure Logic应用中使用托管身份,都需要对托管身份本身和访问目标Azure资源的特定权限。以下是有关权限的一些关键点:
1。微软ENTRA管理员权限:要为托管身份分配角色,您需要Microsoft Entra管理员权限。这对于管理Microsoft Entra ID [2]保护资源的访问至关重要。
2。目标资源的角色分配:在托管身份可以访问Azure资源之前,必须将其分配适当的角色。例如,如果您的逻辑应用需要与Azure存储进行交互,则可以为托管身份分配“存储BLOB数据贡献者”角色。同样,对于Azure Service Bus,可能需要[3]等角色诸如“ Azure Service Bus数据发送者”或“ Azure Service Bus数据接收器”。
3.订阅和资源组访问:托管身份不仅需要访问特定资源,而且还需要对资源所在的资源组和订阅。这样可以确保逻辑应用程序可以在这些范围内列出和访问资源[2]。
4.检查权限:要验证托管身份具有正确的权限,您可以在Microsoft Entra ID中检查企业应用程序对象或使用PowerShell命令,例如`get-mgserviceprincipalapproleassignment“查询分配的角色[5]。
总而言之,在逻辑应用程序中使用托管身份需要仔细管理权限,以确保安全有效地访问Azure资源。
引用:
[1] https://www.red-gate.com/simple-talk/cloud/azure/how-to-to-so-managed-managed-indistities-in-your-azure-logic-apps/
[2] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-indentity
[3] https://www.middleway.eu/using-managed-indistities-in-a-a-logic-app/
[4] https://www.youtube.com/watch?v=b69pb9cklra
[5] https://www.reddit.com/r/azure/comments/1aruc8t/where_can_i_i_see_my_my_my_logic_app_app_with_with_with_managed/
[6] https://docs.azure.cn/en-us/logic-apps/create-single-tenant-workflows-azure-portal
[7] https://www.youtube.com/watch?v=bzhcqyishie
[8] https://medienstudio.net/development-en/deploying-azure-logic-apps-managed-nideity-nideity-with-bicep/
[9] https://gist.github.com/svenaelterman/fe2d666ad4ceb8c1a220766e4898b8888ba
[10] https://www.linkedin.com/pulse/managed-indistities-logic-apps-apps-azure-ad-automate-your-stuff-periwal