我有一个可以更新 Azure 资源标记的 Azure 函数应用程序。目前,我有一个应用注册,该注册对我的订阅具有参与者级别的访问权限,这些凭据是函数应用在读取和更新资源时使用的凭据(我使用的是资源管理客户端(。
var credentials = SdkContext.AzureCredentialsFactory
.FromServicePrincipal(/* app client ID */,
/* app client secret */,
/* tenant ID */,
AzureEnvironment.AzureGlobalCloud);
var resourceClient = new Microsoft.Azure.Management.ResourceManager.ResourceManagementClient(credentials);
我还为函数应用设置了 AAD 身份验证: AAD 设置
是否可以在读取/更新 Azure 资源时使用登录的 AAD 用户的凭据,而不是我的应用注册?这样,我认为如果有人向函数应用发送请求以更新标记,但没有对订阅的正确权限,则请求将失败。
我在想,如果有人向函数应用程序发送请求 更新标签,但没有适当的权限 订阅时,请求将失败。
你是完全正确的。如果用户没有对下标的严格权限,则用户将无法更新标签。AAD 用户将只能访问你的函数,但无权更新 Azure 资源。