Azure Devops-服务主体手动设置？

我在两个不同的Azure devops项目中拥有以下Azure devops管道，一个用于基础架构团队，另一个用于应用程序开发团队

使用Terraform提供网络、ACR和AKS基础设施

使用Helm部署AKS应用程序

我不想为Azure devops服务连接授予Azure订阅所有者帐户或Azure订阅所有者权限

我为每个管道创建了两个独立的服务帐户。现在，分配给服务帐户的所有角色是什么，以便Azure Devops项目使用服务帐户/服务主体（手动）来连接和执行活动

---

这是生产部署的正确方法吗？

我知道，无论是命令还是REST API，都只能手动创建服务主体。对于生产部署，必须严格控制权限。不要给服务主体过多的权限是一种安全的方式，它为错误操作提供了预防措施。更严格的权限控制是，如果内置角色的权限也比我们需要的多，则根据需要创建自定义角色。请参阅有关的详细信息。对于ACR，如果需要，还可以对令牌进行更精细的控制。

该问题还有其他更新吗？它能解决你的问题吗？