是否通过Powershell在EA门户中激活服务主体作为帐户所有者？

Question

我们的客户希望使用服务主体来生成新的订阅，这样恶意员工就不能拥有对新创建的订阅的所有者访问权限。我已经通过CLI生成了一个服务主体，但是要使他成为ea门户中的帐户所有者，主体需要一个当然不存在的电子邮件地址。我不能使该服务主体成为帐户所有者

我已经尝试实现了基于以下docs.microsoft.com-entries的场景：

https://docs.microsoft.com/en-us/azure/azure-resource-manager/programmatically-create-subscription?tabs=azure-powershell

https://docs.microsoft.com/en-us/azure/azure-resource-manager/grant-access-to-create-subscription?tabs=rest%2Crest-2

服务主体的生成使用以下命令完成：

az ad sp为rbac创建--名称%name_of_the_account%

Answer 1

您不需要eMail地址。注册下的现有帐户所有者必须向服务主体(SP)授予"SubscriptionCreator“角色。

创建SP后的第一步是将所述角色分配给SP。使用如here所述的REST API，现有帐户所有者可以直接在此页面登录并发送请求。您需要按照here的描述设置一些属性，其中billingRoleAssignmentName是"SubscriptionCreator“角色的a0bcee42-bf30-4d1b-926a-48d21664ef71。在HTTP中，您可以通过指定principalId和principalTenantId属性来定义哪个SP将获得这些权限。

之后，SP可以通过编程方式在注册下创建订阅，有关详细信息，请参阅here。

Answer 2

@NormanPunge分配给服务主体的默认RBAC角色是Contributor。

您可以使用以下命令为服务主体提供所有者角色

az role assignment create --assignee <your Service Principal ID> --role Owner
az role assignment delete --assignee <your Service Principal ID> --role Contributor

欲了解更多信息，请访问：https://docs.microsoft.com/en-us/azure/azure-resource-manager/grant-access-to-create-subscription?tabs=azure-cli%2Cazure-cli-2#grant-access