是否存在数据工厂需要成为 Azure 订阅所有者的情况?
Is there any situation where a data factory needs to be Owner of an Azure subscription?
我碰巧注意到数据工厂 (ADFv2) 是我们其中一项 Azure 订阅的所有者。这是一个典型的 ADF,没有做任何不寻常的事情。我猜这是错误的 - 但只是想在论坛这里询问是否存在数据工厂需要成为给定订阅的所有者的真实情况?
Azure 数据工厂是否用于使用 REST API 等的任何自动化目的?
喜欢跨 RG 扩展资源或 pausing/resuming 资源?
如果是这种情况,则 ADF 可能已获得订阅中存在的 RG 内所有对象中 MSI 订阅的所有者访问权限。
如果此 ADF 特定于数据摄取用例,则无需为 ADF 所有者提供对整个订阅的访问权限。
是的,@Nandan 说的基本上是正确的,更具体地说,本质上 Owner 分配给你的 ADFv2 的 MSI,当你需要使用 MSI(managed identity) of your ADFv2 to auth to Azure resources/call Azure REST APIs, the RBAC role(in your case, it is Owner) is needed, to do most of the things, some other roles are enough e.g. Contributor, to do something like create role assignment 时,你需要角色有更高的特权,例如Owner.
我回答的三个具体案例帮助你理解:
我碰巧注意到数据工厂 (ADFv2) 是我们其中一项 Azure 订阅的所有者。这是一个典型的 ADF,没有做任何不寻常的事情。我猜这是错误的 - 但只是想在论坛这里询问是否存在数据工厂需要成为给定订阅的所有者的真实情况?
Azure 数据工厂是否用于使用 REST API 等的任何自动化目的? 喜欢跨 RG 扩展资源或 pausing/resuming 资源?
如果是这种情况,则 ADF 可能已获得订阅中存在的 RG 内所有对象中 MSI 订阅的所有者访问权限。
如果此 ADF 特定于数据摄取用例,则无需为 ADF 所有者提供对整个订阅的访问权限。
是的,@Nandan 说的基本上是正确的,更具体地说,本质上 Owner 分配给你的 ADFv2 的 MSI,当你需要使用 MSI(managed identity) of your ADFv2 to auth to Azure resources/call Azure REST APIs, the RBAC role(in your case, it is Owner) is needed, to do most of the things, some other roles are enough e.g. Contributor, to do something like create role assignment 时,你需要角色有更高的特权,例如Owner.
我回答的三个具体案例帮助你理解: