Azure devops 如何创建作用域为多个资源组的Azure DevOps服务连接

我有一个项目，其资源跨越3个资源组。我想创建一个作用域为所有这些资源组的服务连接，这样我就可以通过该服务连接在一个地方管理访问。目前，我创建了3个服务连接，作用域为每个资源组。我不想将其范围限定到订阅，因为在该订阅中还有其他团队处理项目。它将给我在未来的维护和审计问题

如果我创建一个服务主体并将其分配给3个资源组，然后将此服务主体附加到服务连接，那么这是一个好的设计吗

---

有没有更好的方法来实现这一点？

您不必手动创建服务主体您可以使用该接口创建服务主体，授予第一个资源组的权限，并为您自动配置连接
完成后，查看服务连接以识别正在使用的服务主体，并授予其对其他资源组的权限

---

是的，这是一个很好的设计，与3个服务主体相比，唯一的缺点是您对于Azure DevOps中谁可以通过服务连接的权限访问这3个资源组中的每一个（因为您只有一个而不是3个）

谢谢。您是否知道如何通过powershell/cli/ARM自动化所有这一过程？我建议您就此提出一个单独的问题，但您可以使用powershell创建应用程序服务主体并将其分配给资源组。不确定如何在ADO上自动化服务连接部分，但这里唯一可能的警告是，如果您通过Azure DevOps接口编辑连接，它可能会创建新的ServicePrincipal和/或删除您的扩展权限。嗨，Venky，bbaywet的回答对您的问题有帮助吗？