使用Terraform在Azure上配置基础结构时的最佳做法是什么?我们正在努力在两个变体之间做出决定:
第一个选项更方便,但在订阅级别授予Terraform Owner权限时,我担心安全性问题。
什么是最佳解决方案?
当您担心安全性时,您的要求应该受到限制。如果您只想在一个资源组或串行资源组中创建资源,然后对所有内容进行控制。我建议您创建一个服务主体,并为其分配资源组的所有者角色,而不是整个订阅。这是确保安全性的最佳方法,您还拥有控制该组或多个组中资源的所有权限,仅将范围限制到该组或多个组。
将所有者角色分配给整个订阅,这是不安全的,您有时会在某人身上犯一些错误。