Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt uitgelegd hoe u een service-principal maakt met behulp van de Azure CLI of Azure Portal. U kunt de service-principal gebruiken wanneer u een Microsoft Azure Red Hat OpenShift-cluster implementeert . Een nieuwe clusteraanmaak maakt ook een service-principal aan.
Voor interactie met Azure-API's is voor een Microsoft Azure Red Hat OpenShift-cluster een Microsoft Entra-service-principal vereist. Deze service-principal wordt gebruikt voor het dynamisch maken, beheren of openen van andere Azure-resources, zoals een Azure Load Balancer of een Azure Container Registry. Zie Toepassings- en service-principalobjecten in Microsoft Entra-id voor meer informatie.
Service-principals verlopen in één jaar, tenzij deze zijn geconfigureerd voor langere perioden. Zie Referenties voor service-principals roteren voor uw Azure Red Hat OpenShift-cluster voor informatie over hoe u de verloopperiode van uw service-principal kunt verlengen.
Een service-principal maken
In de volgende secties wordt uitgelegd hoe u een service-principal maakt voor het implementeren van een Azure Red Hat OpenShift-cluster.
Vereiste voorwaarden
Als u de Azure CLI gebruikt, moet Azure CLI versie 2.30.0 of hoger zijn geïnstalleerd en geconfigureerd. Voer az --version uit om de versie te zoeken. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.
Een brongroep maken
Voer de volgende Azure CLI-opdracht uit om een resourcegroep te maken voor uw Azure Red Hat OpenShift-cluster. De naam van de resourcegroep wordt opgeslagen in de AZ_RG variabele.
AZ_RG=$(az group create --name test-aro-rg --location eastus2 --query name --output tsv)
Een service-principal maken en op rollen gebaseerd toegangsbeheer toewijzen
Service-principals moeten uniek zijn per Azure RedHat OpenShift-cluster. Met de volgende opdrachten maakt u de AZ_SUB_ID variabele om uw Azure-abonnements-id op te slaan, wijst u de rol Contributor toe en scopeert u de service principal naar de Azure Red Hat OpenShift-resourcegroep.
AZ_SUB_ID=$(az account show --query id --output tsv)
az ad sp create-for-rbac --name "test-aro-sp" --role Contributor --scopes "/subscriptions/${AZ_SUB_ID}/resourceGroups/${AZ_RG}"
De uitvoer is vergelijkbaar met het volgende voorbeeld:
{
"appId": "55556666-ffff-7777-aaaa-8888bbbb9999",
"displayName": "test-aro-sp",
"password": "Gg7Hh~8Ii9.-Jj0Kk1Ll2Mm3Nn4Oo5_Pp6Qq7Rr8",
"tenant": "bbbbcccc-1111-dddd-2222-eeee3333ffff"
}
Noteer deze informatie en bewaar deze op een veilige plaats. De wachtwoordwaarde wordt slechts eenmaal weergegeven. Zie az ad sp create-for-rbac voor meer informatie over het commando.
Belangrijk
Deze service-principal staat alleen een inzender toe voor de resourcegroep die het Azure Red Hat OpenShift-cluster bevat. Als uw virtuele netwerk zich in een andere resourcegroep bevindt, moet u de rol Medewerker voor de service-principal toewijzen aan die resourcegroep. U moet ook uw Azure Red Hat OpenShift-cluster maken in de resourcegroep die u hebt gemaakt voor de service-principal.
Als u machtigingen wilt verlenen aan een bestaande service-principal met Azure Portal, raadpleegt u Een Microsoft Entra-app en service-principal maken in de portal.
Een service-principal maken met Azure Portal
Om een service-principal te maken voor uw Azure Red Hat OpenShift-cluster via de Azure Portal, zie Een Microsoft Entra-app registreren en een service-principal maken. Zorg ervoor dat u de toepassings-id (client) en de geheime sleutel opslaat en deze op een veilige plaats bewaart. De geheime waarde wordt slechts eenmaal weergegeven.
De rol Bijdrager wordt vermeld in de Geprivilegieerde Beheerdersrollen wanneer u de roltoewijzing vanuit de portal toevoegt.
De hulpbronnen opschonen
U kunt de app-registratie en service-principal uit Microsoft Entra ID verwijderen als u ze niet nodig heeft.
Met de volgende opdrachten haalt u de applicatie-id op en verwijdert u de app-registratie en de service-principal.
APP_ID=$(az ad app list --display-name test-aro-sp --query [].appId --output tsv)
az ad app delete --id $APP_ID
Ga naar Microsoft Entra ID>App-registraties>Eigendom applicaties. Voer de weergavenaam test-aro-sp in, selecteer de naam en selecteer Verwijderen.
Als u de app-registratie definitief wilt verwijderen, gaat u naar Verwijderde toepassingen, zoekt u de naam van de app, schakelt u het selectievakje voor de app in en selecteert u Definitief verwijderen.
Verwante inhoud
Zie Een Azure-service-principal maken met Azure CLI en Azure-rollen toewijzen met behulp van Azure CLI voor meer informatie over het maken van een service-principal in Azure CLI.