Azure：使用Terraform的服务主体用户最佳实践

当您有一个执行操作的服务（非人类）时，应该使用服务主体。例如，在此场景中，Terraform将使用服务主体作为CI/CD管道的一部分来配置基础设施。
在任何环境下，服务主体通常都是使用最小权限进行配置的。这是因为服务主体旨在用于单个和非常特定的目的，例如调用Terraform来配置您的环境。因此，您的服务主体可能具有从Azure Key Vault读取特定一组机密信息的权限，这些机密信息用于在特定资源组（或一组资源组）中配置资源。仅此而已。
与您用于工作的用户帐户相比，这是不同的。您可能可以访问多个Azure订阅，可以在任何地方配置资源、删除资源、配置对资源的访问权限等。
使用服务主体的主要原因是出于安全考虑。以上面的示例为例，如果服务主体的凭据（客户端ID和密码）被泄露，那么可以使用这些凭据做的唯一事情就是从密钥保管库中读取一个密钥并在特定的资源组中配置资源。
文档here演示了如何为服务主体授予整个订阅的贡献者权限。这比我上面给出的示例不太严格。然而，我怀疑它假设另一个最佳实践，即您的开发/测试环境应该使用与生产和其他环境不同的Azure订阅。因此，虽然服务主体对专用于开发/测试的订阅具有完全的贡献者权限，但它仍然无法访问组织拥有的其他订阅，也不能用于配置对订阅中资源的访问。

这是我推荐的模型。我们在公司（技术团队大约有40人，包括基础设施和开发人员）大多数情况下都已经实现了它，并且效果很好。

1. 生产订阅与开发和测试进行分离（如@RickRainey所建议的）。
2. 生产环境被锁定，只有“部署者”服务主体（Service Principal (SP)）可以进行更改（并且在紧急情况下还有几个基础设施管理员）。Deployer SP通过我们的部署管道（我们使用TeamCity）运行terraform。
3. 开发人员可以访问开发环境的Contributor权限，他们可以自由地尝试和测试基础架构变更。这是使用他们自己的个人帐户而不是SP完成的（再次向@RickRainey表示感谢）。
4. 任何人都可以促使terraform的更改到生产环境，但必须是通过github Pull Request（PR），由基础设施团队成员批准，并由Deployer SP通过部署管道应用。

这样做可以实现以下几个目标： a）最小特权（生产环境被锁定）， b）更改批准， c）开发人员在开发环境中的自由， d）生产环境的透明度和可访问性（因为任何人都可以查看terraform并创建PR）。

这样做当然会面临一些挑战（例如如何在部署管道中保护SP的凭据），但是，一个聪明的团队无法解决吗。