Azure 蔚蓝的地形。访问权最佳做法

在Azure上使用Terraform配置基础设施时，最佳做法是什么？我们正努力在两种变体之间做出选择：

• 为Terraform创建一个服务主体，并授予其对整个订阅的所有者权限，以便它可以为每个环境创建资源组，并为资源中的服务主体分配角色
• 手动为每个环境创建资源组和服务主体，并将terraform的服务主体所有者权限仅分配给资源组

第一个选项更方便，但我担心在订阅级别授予Terraform所有者权限时会出现安全问题

---

最好的解决方案是什么？

当您担心安全性时，您的需求应该受到限制。如果希望仅在一个资源组或串行资源组中创建资源，然后控制所有资源组。我建议您创建一个服务主体，并将其分配给资源组的所有者角色，而不是整个订阅。这是实现安全性的最佳方式，您还拥有控制该组或多个组中的资源的所有权限，仅将范围限制到该组或多个组

将所有者角色分配给整个订阅，这是不安全的，你知道，有时会有人出错