Bereitstellungen für Azure-App-Service - Minimale Rolle für das Dienst-Hauptkonto

Question

Ich stelle eine Standard-ASP.NET-MVC-Anwendung mithilfe einer VSTS-Build- und Release-Definition für einen Azure App Service bereit. Die VSTS-Instanz und die Azure-Zielvereinbarung befinden sich auf separaten Azure-Konten/-Abonnements. Daher müssen wir eine Azure AD-Anwendung und ein Dienstprinzipalkonto erstellen, um die Bereitstellung zu autorisieren.

Beim Hinzufügen des Service-Hauptkontos zum Abonnement möchten wir, dass wir eine Rolle zuweisen.

Was ist die beste und am wenigsten privilegierte Rolle, die zum Bereitstellen der Site verwendet werden kann?

Answer 1

Wenn Azure Resource Manager Service-Endpunkt hinzufügen, es erwähnt:

Ein neuer Haupt Azure-Service erstellt und mit „Contributor“ Rolle zugewiesen, auf die Ressourcen aller Abonnement in den ausgewählten Zugang haben.

So ist die Contributor-Rolle besser.

Zum Konfigurieren des Azure RM-Dienstendpunkts müssen Sie andererseits Mitglied der Global Admin-Rolle im Verzeichnis sein. Weitere Informationen: Insufficient privileges to complete the operation.