Можно ли добавить назначенный Системой идентификатор управляемого сервиса в группу AAD?
У меня есть служба Azure Data Factory V2, работающая с удостоверением MSI. Эта служба должна иметь доступ к озеру данных 1-го поколения с тысячами папок и миллионами файлов.
Для эффективности у нас есть группа, назначенная корню озера данных, которая имеет разрешения RX, и они наследуются и устанавливаются по умолчанию по всему дереву.
Я хотел бы добавить вышеупомянутый MSI ADF в эту группу, и я не могу понять, как через блейд AAD портала.
Я могу назначить этот MSI непосредственно для набора данных, но затем он должен обновить миллионы файлов, что является медленным и подверженным ошибкам (блейд необходимо держать открытым, пока применяются разрешения, и это часто дает сбой в течение часов, которые требуются из-за сети Сбой).
Отметка.
2 ответа
Да. Вы можете добавить назначенный системой управляемый идентификатор в группу Azure AD. Посмотрите эту ссылку, чтобы узнать, как этого можно достичь с помощью PowerShell: https://docs.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/tutorial-windows-vm-access-sql
Теперь это также возможно с помощью Azure CLI:
az ad group member add --group <Group Object ID or Name> --member-id <Object ID of your managed identity>