Azure usa Service Principal com role limitada:
- Azure Portal → Azure Active Directory → App registrations → New registration
- Nome: "FairOpsReadOnly", Supported account types: single tenant
- Após criar, anote: Application (client) ID + Directory (tenant) ID
- Em "Certificates & secrets", crie novo client secret (validade 24 meses). Anote o valor.
- Em Subscriptions → [sua subscription] → Access control (IAM) → Add role assignment:
- - Role: Cost Management Reader
- - Assign access to: User, group, or service principal
- - Select: busque pelo nome "FairOpsReadOnly"
- Cole tenant_id, client_id e client_secret no wizard FairOps
Se você tem múltiplas subscriptions, adicione a role em cada uma.
Roles adicionais opcionais (para features avançadas): - Reader (para detectar recursos idle) — read-only, sem risco - Log Analytics Reader (para métricas Kubernetes)
#azure#service-principal