Правильное развертывание AAD Pod Identity

Я намерен использовать AAD Pod Identity, чтобы мои рабочие нагрузки kubernetes могли использовать управляемые удостоверения, которые я создаю в Azure.

В настоящее время я создаю свою личность и назначение ролей с помощью шаблонов ARM. После этого мне нужно создать экземпляр AzureIdentity CRD, который содержит ссылку на clientId управляемой идентичности.

Я пришел от другого поставщика облачных услуг, которому не требовался CRD для работы от имени учетной записи службы, поэтому мне было интересно, как лучше всего управлять этой конфигурацией?

В идеале я хотел бы оставаться в сфере шаблонов ARM, чтобы мне не пришлось разбивать развертывание кластера в нескольких местах. Однако я не имею представления, как это будет работать, поскольку мне нужно сгенерировать yaml, содержащий ссылку на что-то из других шаблонов ARM. Какой правильный способ автоматизировать это, не взламывая скрипт для выполнения запросов через az cli:

1. Развертывание управляемого кластера + управляемые удостоверения с помощью шаблона ARM
2. Создать Azure Identity который привязан к одному из этих управляемых удостоверений

Я не уверен, возможно ли это, но хотел бы увидеть, что сделали другие.