[英]Attach Azure Kubernetes Service (AKS) to Azure Container Registry (ACR) without being Subscription Owner
我正在通過 ARM 模板和 Azure DevOps 管道部署 AKS,並希望自動連接到 ACR
為此,我需要執行az aks update --name $(clusterName) --resource-group $(rgName) --attach-acr $(containerRegistryName)
..但是這需要訂閱級別的所有者,我不希望服務原則擁有它
有沒有可用的解決方法?
您唯一的解決方法是創建一個僅允許為該特定資源分配權限的自定義角色。 看起來像這樣:
$role = Get-AzureRmRoleDefinition "Virtual Machine Contributor"
$role.Id = $null
$role.Name = "xxx"
$role.Description = "yyy"
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Authorization/roleAssignments/write")
$role.AssignableScopes.Clear()
$scope = "your azure container registry resourceId"
$role.AssignableScopes.Add($scope)
$def = New-AzureRmRoleDefinition -Role $role
由於 az cli 的實現方式,您可能還需要添加讀取權限,但本質上寫入應該就足夠了
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.