如管理环境运维授权▸中所述,AutoMQ 运维平台需要对您 Azure 环境中的 Ops Bucket 进行读写访问,以实现系统稳定性监控、故障自愈、订阅 License 更新和版本升级等运维操作。
在 Azure 中,跨租户账号授权 AutoMQ 访问指定的 Ops Bucket 是通过跨租户授权方案实现的。该方案的核心是在您的租户中,基于 AutoMQ 运维平台的多租户应用创建服务主体(Service Principal),然后为该服务主体分配相应的角色权限。更多关于跨租户授权的详细信息,请参考 跨租户创建服务主体 和 跨租户授权访问。
本文中提及 AutoMQ 产品服务方、AutoMQ 服务方、AutoMQ,均特指安托盟丘(杭州)科技有限公司。
操作流程
步骤一:使用租户管理员身份登录 Azure CLI
使用您的租户管理员身份登录 Azure CLI。将 <Your Tenant ID> 替换为您的 Microsoft Entra 租户 ID。
az login --tenant <Your Tenant ID>
步骤二:获取 Ops Bucket 信息
在操作之前,您需要收集创建 AutoMQ BYOC 环境时配置的 Ops Bucket 相关信息。您可以通过 Azure 控制台或 Azure CLI 获取以下信息:
| 参数 | 说明 |
|---|
| 当前订阅 ID(Subscription ID) | 包含 Ops Bucket 资源的 Azure 订阅。 |
| 资源组(Resource Group) | Storage Account 所在的资源组。 |
| Storage Account | 承载 Ops Bucket Blob Container 的存储账户。 |
| Blob Container 名称 | 用作 Ops Bucket 的 Blob Container 名称。 |
# 列出资源组中的 Storage Account
az storage account list --resource-group <Your Resource Group> --query "[].name" -o table
# 列出 Storage Account 中的 Blob Container
az storage container list --account-name <Your Storage Account> --query "[].name" -o table
步骤三:创建 AutoMQ 运维平台的服务主体
在您的租户中,基于 AutoMQ 运维平台的多租户应用创建服务主体(Service Principal),使 AutoMQ 运维平台能够在您的 Azure 环境中进行身份认证。
执行以下命令:
az ad sp create --id 123d6e96-84f4-4569-82ec-c25edb2dc696
--id 参数值 123d6e96-84f4-4569-82ec-c25edb2dc696 是 AutoMQ 官方运维平台的 App ID,不可修改。
az ad sp show --id 123d6e96-84f4-4569-82ec-c25edb2dc696
步骤四:为 AutoMQ 运维平台的服务主体授予角色绑定
为 AutoMQ 运维平台的服务主体授予 Storage Blob Data Contributor 角色,授权范围限定在 Ops Bucket 所在的 Blob Container。AutoMQ 仅会获取 Ops Bucket 所在的 Blob Container 的 “Storage Blob Data Contributor” 角色权限,不会影响其他任何资源。
将以下命令中的占位符替换为步骤二中收集的信息:
az role assignment create \
--role "Storage Blob Data Contributor" \
--assignee 123d6e96-84f4-4569-82ec-c25edb2dc696 \
--scope "/subscriptions/{Your Subscription ID}/resourceGroups/{Your Resource Group}/providers/Microsoft.Storage/storageAccounts/{Your Storage Account}/blobServices/default/containers/{Your Ops Bucket Blob Container}"
