我创建了一个服务主体来使用 Terraform 和 GitHub 工作流执行 CI/CD。我最初使用 Terraform 配置基础设施,并且还使用 Terraform 对我的部署进行更改。
我的挑战是,我只想授予此服务主体贡献者访问名称以“TEST”开头的资源(例如容器应用程序和容器注册表)的权限。我不希望它访问其他资源。我怎样才能实现这一目标?
虽然可以应用 Azure 策略来强制执行命名约定,但没有任何机制可以为特定用户强制执行策略。最好的选择是限制资源的权限(特别是Container和website权限),因为这正是基于角色的安全性的目的。
听起来,通过将范围限制为以“测试”开头的资源,您希望为团队成员提供一定的灵活性来管理自己的实验资源。
如果是这样,这里有一些可能的选择: