2.6. サービスプリンシパルの作成

手順

1. Azure CLI にログインします。

   $ az login

   Copy to Clipboard Toggle word wrap

2. Azure アカウントでサブスクリプションを使用している場合は、適切なサブスクリプションを使用していることを確認してください。

   1. 利用可能なアカウントの一覧を表示し、クラスターに使用するサブスクリプションの tenantId の値を記録します。

      $ az account list --refresh

      Copy to Clipboard Toggle word wrap

      出力例

      [
        {
          "cloudName": "AzureCloud",
          "id": "9bab1460-96d5-40b3-a78e-17b15e978a80",
          "isDefault": true,
          "name": "Subscription Name",
          "state": "Enabled",
          "tenantId": "6057c7e9-b3ae-489d-a54e-de3f6bf6a8ee",
          "user": {
            "name": "you@example.com",
            "type": "user"
          }
        }
      ]

      Copy to Clipboard Toggle word wrap

   2. アクティブなアカウントの詳細を表示し、tenantId 値が使用するサブスクリプションと一致することを確認します。

      $ az account show

      Copy to Clipboard Toggle word wrap

      出力例

      {
        "environmentName": "AzureCloud",
        "id": "9bab1460-96d5-40b3-a78e-17b15e978a80",
        "isDefault": true,
        "name": "Subscription Name",
        "state": "Enabled",
        "tenantId": "6057c7e9-b3ae-489d-a54e-de3f6bf6a8ee", 

      1

      
        "user": {
          "name": "you@example.com",
          "type": "user"
        }
      }

      Copy to Clipboard Toggle word wrap

      1

      tenantId パラメーターの値が正しいサブスクリプション ID であることを確認してください。

   3. 適切なサブスクリプションを使用していない場合には、アクティブなサブスクリプションを変更します。

      $ az account set -s <subscription_id> 

      1

      Copy to Clipboard Toggle word wrap

      1

      サブスクリプション ID を指定します。

   4. サブスクリプション ID の更新を確認します。

      $ az account show

      Copy to Clipboard Toggle word wrap

      出力例

      {
        "environmentName": "AzureCloud",
        "id": "33212d16-bdf6-45cb-b038-f6565b61edda",
        "isDefault": true,
        "name": "Subscription Name",
        "state": "Enabled",
        "tenantId": "8049c7e9-c3de-762d-a54e-dc3f6be6a7ee",
        "user": {
          "name": "you@example.com",
          "type": "user"
        }
      }

      Copy to Clipboard Toggle word wrap

3. 出力から tenantId および id パラメーター値を記録します。OpenShift Container Platform のインストール時にこれらの値が必要になります。

4. アカウントのサービスプリンシパルを作成します。

   $ az ad sp create-for-rbac --role <role_name> \

   1

   
        --name <service_principal> \

   2

   
        --scopes /subscriptions/<subscription_id> 

   3

   Copy to Clipboard Toggle word wrap

   1

   ロール名を定義します。Contributor ロールを使用するか、必要なアクセス許可を含むカスタムロールを指定できます。

   2

   サービスプリンシパル名を定義します。

   3

   サブスクリプション ID を指定します。

   出力例

   Creating 'Contributor' role assignment under scope '/subscriptions/<subscription_id>'
   The output includes credentials that you must protect. Be sure that you do not
   include these credentials in your code or check the credentials into your source
   control. For more information, see https://aka.ms/azadsp-cli
   {
     "appId": "ac461d78-bf4b-4387-ad16-7e32e328aec6",
     "displayName": <service_principal>",
     "password": "00000000-0000-0000-0000-000000000000",
     "tenantId": "8049c7e9-c3de-762d-a54e-dc3f6be6a7ee"
   }

   Copy to Clipboard Toggle word wrap

5. 直前の出力の appId および password パラメーターの値を記録します。OpenShift Container Platform のインストール時にこれらの値が必要になります。

6. Contributor ロールをサービスプリンシパルに適用した場合は、次のコマンドを実行して User Administrator Access ロールを割り当てます。

   $ az role assignment create --role "User Access Administrator" \
     --assignee-object-id $(az ad sp show --id <appId> --query id -o tsv) 

   1

   Copy to Clipboard Toggle word wrap

   1

   サービスプリンシパルの appId パラメーター値を指定します。