Referenzieren einer Managed Service-Identität in ARM-Vorlagenbereitstellung

Question

Beim Bereitstellen einer Microsoft.Web-Ressource mit der neuen MSI-Funktion wird nach der Bereitstellung die PrinzipalID-GUID für den erstellten Benutzer angezeigt. Screenshot unten zeigt die Struktur in der ARM-Vorlage.

Was ist der beste Weg, um diese GUID später in der Pipeline holen zu können Zugriffsrechte in (zum Beispiel) Daten See Shop zuordnen würde?

Ist es möglich, eine der vorhandenen ARM-Vorlagenfunktionen zu verwenden?

Answer 1

Hier sind einige Beispielvorlagen: https://github.com/rashidqureshi/MSI-Samples, die a) zeigen, wie RBAC Zugang zu gewähren ARM Ressourcen b), wie der Zugang für keyvault erstellen, um die OID der MSI

Answer 2

mit mir damit mir nur zu kämpfen. Die Lösung, die für mich arbeitete, wurde tief in den Kommentaren here gefunden.

Im Wesentlichen erstellen Sie eine Variable, die auf die Ressource abzielt, die Sie mit der MSI-Unterstützung erstellen. Dann können Sie die Variable verwenden, um die spezifischen Werte für tenantId und principalId abzurufen. Nicht ideal, aber es funktioniert. In meinen Beispielen konfiguriere ich Key Vault-Berechtigungen für eine Funktions-App.

Verwenden Sie zum Erstellen der Variablen die folgende Syntax.

"variables": { 
    "identity_resource_id": "[concat(resourceId('Microsoft.Web/sites', variables('appName')), '/providers/Microsoft.ManagedIdentity/Identities/default')]" 
} 

Um die tatsächlichen Werte für die tenantId und principalId Bezug sie mit folgenden Syntax zu erhalten:

{ 
    "tenantId": "[reference(variables('identity_resource_id'), '2015-08-31-PREVIEW').tenantId]", 
    "objectId": "[reference(variables('identity_resource_id'), '2015-08-31-PREVIEW').principalId]" 
} 

Hope this jeden, der zusammen mit dem gleichen Problem kommt hilft!