【开源】Terraform实现在Team中分享Azure订阅 | 王柏元的博客

243 阅读2分钟
原文链接: wangbaiyuan.cn
 极客人  6分钟前  作品 技术 |   抢沙发  6  文章评分 0 次,平均分 0.0 :

假设你属于组织中的某个团队,现在你们只有一份Azure subscription,而你是Azure订阅的所有者。那怎么怎么把一个subscription分享给其它人,同时实现:

  • 与您的团队共享Azure,每个人都可以在您的订阅中使用Azure资源。
  • 每个人的环境是隔离的,比如你操作不了或者至少看不见别人创建的资源
  • 每个人的私有资源组只能由其所有者管理。
  • 可以与所有团队成员共享一个公共资源组。
  • 当有人离开团队时,他的资源很容易被销毁避免收费。

文章 lennilobel.wordpress.com/2018/10/15/… 介绍了在Azure后台UI上实现这一需求,主要是在Resource Group级别进行了IAM控制。

同时,极客人将其进行了代码化:github.com/tf-module/a… ,它实现过程如下

  • 创建一个Azure AD用户组,其中包含您的团队成员,也就是你提供的邮件地址
  • 分别为每个成员创建它以其姓名命名的私人资源组,利用role assignment,将自己配置为私人资源组的owner。
  • 一个给整个团队共享的公共资源组,每个成员都是其贡献者,利用role assignment,将用户组配置为该资源组的contributor。
  基础设施  
0人喜欢 0人收藏 分享到微博 更多分享 关于极客人 记录生活,镌刻心路;泼洒文墨,分享技术!王柏元的博客致力于IT经验交流,并原创翻译引进外文文章,打开IT国际化视野 作者主页 上一篇 密钥管理:从薪火相传的密钥到“密码即服务”  下一篇