我碰巧注意到一个数据工厂(ADFv2)是我们一个Azure订阅的所有者。这是一个典型的ADF,没有做任何不寻常的事情。我猜这是错误的——但我只是想在论坛上问一下,是否有一个真正的场景,数据工厂需要成为给定订阅的所有者?
是的,@Nandan所说的基本上是正确的,更具体地说,本质上Owner
分配的MSI ADFv2,当你需要使用的MSI(托管身份)ADFv2 auth Azure资源/叫Azure REST api, RBAC角色(在你的情况中,它是Owner
)是必要的,做的大多数事情,其他角色足够例如Contributor
,做一些像创建角色分配,你需要这个角色有更高的特权,例如Owner
。
我回答的三个具体案例帮助你理解:
-
如何使用Azure数据工厂管道调用REST API
-
如何在Azure数据工厂中使用此API
-
Azure数据工厂管道启动SSIS集成运行时授权错误
Azure数据工厂是否使用REST api等用于任何自动化目的?比如在RGs中伸缩资源或暂停/恢复资源?
如果是这种情况,那么ADF可能在订阅中存在的rg中所有对象的MSI的订阅上被授予所有者访问权。
如果这个ADF是特定于数据摄取用例的,那么就不需要在整个订阅上提供ADF所有者访问。