在Azure Python API中以編程方式創建服務主體

Question

如何使用Azure Python API創建完整的憑據集，以后可用於在沒有任何其他權限的情況下啟動和取消分配命名資源組中的所有VM？

我已經仔細研究了示例代碼以及官方和非官方文檔，但是我什至不知道從哪里開始。

我知道我需要一個租戶ID，客戶ID，客戶機密和訂閱ID。 我可以使用API​​進行哪些操作，如何分配角色以啟動/取消分配現有資源組的VM？

樣本代碼備受追捧，但會有所提示！

Answer 1

您需要azure-graphrbac軟件包來創建服務主體：

• https://docs.microsoft.com/python/api/overview/azure/activedirectory

更接近樣本的可能是這個單元測試：

• https://github.com/Azure/azure-sdk-for-python/blob/master/sdk/graphrbac/azure-graphrbac/tests/test_graphrbac.py

對於角色和權限，您需要azure-mgmt-authorization ：

• https://docs.microsoft.com/python/api/overview/azure/authorization

此示例的最佳示例可能是此示例的子部分：

• https://github.com/Azure-Samples/compute-python-msi-vm#role-assignement-to-the-msi-credentials

在您的上下文中，“ msi_identity”是“服務主體”的同義詞。

請注意，CLI v2.0支持所有這些功能：

• https://docs.microsoft.com/cli/azure/ad/sp
• https://docs.microsoft.com/cli/azure/role/assignment

可能需要在--debug模式下測試CLI並同時嗅探代碼存儲庫：

• https://github.com/Azure/azure-cli

（完整披露，我在Azure SDK for Python團隊的MS工作）