如何将角色分配给来自不同订阅的Azure服务主体？

问题陈述
目前，我正在azure terraform的帮助下创建/修改不同订阅中的azure资源

错误

Principal <appid> does not exist in the directory {destination-tenant-id-for which contribution role required}

为当前订阅的当前sp分配参与者角色

az角色分配创建--受让人--角色贡献者--范围/订阅/

*为不同订阅的当前sp分配参与者角色。它将以失败告终*

az role assignment create --assignee <appid>  --role Contributor --scope /subscriptions/<diff-sub-id>/<resource-group>....

az角色分配创建--受让人--角色贡献者--范围/订阅/。。。。

---

请告诉我访问其他订阅中资源的正确步骤

您可以将服务主体的权限分配给多个订阅，这不是问题，因为SP位于订阅之外，它位于Azure AD中

---

但是，您不能将不同Azure AD租户中的资源权限分配给服务主体所在的租户，这听起来像是您正在尝试在此处执行的操作。

出现了什么错误？这些订阅在同一Azure AD租户中吗？这两个订阅都在不同的租户id中。我收到了一个错误，好像目录中不存在主体。根据此错误，我假设需要在目标订阅中添加新创建的SP。这是正确的，您需要确保在正确的租户中创建SP。根据我在aws中的理解，我们有信任关系之类的概念。允许不同aws帐户之间的角色访问。我们在azure中没有类似的概念吗？不，目前还不能让服务主体访问另一个租户。您可以将用户作为来宾，但不能使用SP

az role assignment create --assignee <appid>  --role Contributor --scope /subscriptions/<sub-id>

az role assignment create --assignee <appid>  --role Contributor --scope /subscriptions/<diff-sub-id>/<resource-group>....