Azure Powershell Add-AzureKeyVaultManagedStorageAccount失败
Add-AzureKeyVaultManagedStorageAccount即使我在订阅所有者配置文件下执行它,我也无法执行Azure Powershell命令.我通过以下方式成功创建了密钥保管库,存储帐户和存储帐户密钥:
$KeyVault = New-AzureRmKeyVault `
-VaultName "<redacted>" `
-ResourceGroupName $ResourceGroup.ResourceGroupName `
-Location $Location `
-EnabledForDiskEncryption `
-EnabledForDeployment `
-Tag $Tags
$StorageAccount = New-AzureRmStorageAccount `
-ResourceGroupName $ResourceGroup.ResourceGroupName `
-Name "<redacted>" `
-SkuName Standard_LRS `
-Location $Location `
-Kind "Storage" `
-EnableEncryptionService "Blob,File" `
-Tag $Tags `
-AssignIdentity
$StorageAccountKey = New-AzureRmStorageAccountKey `
-ResourceGroupName $ResourceGroup.ResourceGroupName `
-Name $StorageAccount.StorageAccountName `
-KeyName "key1"
但尝试管理密钥保管库中的存储帐户密钥失败
$KeyVaultManagedStorageAccount = Add-AzureKeyVaultManagedStorageAccount `
-VaultName $KeyVault.VaultName `
-AccountName $StorageAccount.StorageAccountName `
-AccountResourceId $StorageAccount.Id `
-ActiveKeyName "key1" `
-Tag $Tags
这是错误.正如我所提到的,我正在订阅所有者个人资料下执行,那么怎么没有授权?其次,下面标识的"相同编辑对象ID"与我可以找到的订阅中的任何对象不对应.我首先使用Azure Powershell 4.2.1遇到了这个问题,并且已经升级到4.3.0并且仍然存在问题.
Add-AzureKeyVaultManagedStorageAccount : The client '<same redacted object Id>' with object id '<same redacted object Id>' does not have authorization to perform action
'Microsoft.Authorization/permissions/read' over scope
'/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>/providers/Microsoft.Authorization'.
At E:\BitSync\Scripts\Azure\Create-Environment.ps1:129 char:34
+ ... VaultManagedStorageAccount = Add-AzureKeyVaultManagedStorageAccount `
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : CloseError: (:) [Add-AzureKeyVaultManagedStorageAccount], KeyVaultErrorException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.KeyVault.AddAzureKeyVaultManagedStorageAccount
顺便说一句,除了剪切和粘贴之外,似乎没有任何方法可以通过门户中的Key Vault来管理存储帐户密钥.
根据您的错误消息,这是一个RBAC问题,您使用的服务主体在该租户中没有权限.
租户有订阅和服务主体属于租户.Azure资源管理器还公开了给定主体的基于角色的授权,这将授予其对Azure资源的权限.服务主体似乎无权从该订阅中读取.
我们可以通过Azure门户在资源范围分配RBAC角色,有关分配RBAC的更多信息,请参阅此链接.
注意:
密钥保管库需要具有列出和重新生成存储帐户密钥的权限.我们可以使用以下步骤来执行此操作:
获取您帐户的ObjectId:
Get-AzureRmADServicePrincipal -SearchString "Azure Key Vault"
将存储关键操作员角色分配给Azure Key Vault标识:
New-AzureRmRoleAssignment -ObjectId <objectId of AzureKeyVault from previous command> -RoleDefinitionName 'Storage Account Key Operator Service Role' -Scope '<azure resource id of storage account>'
有关基于角色的访问控制权限设置的详细信息,请参阅此文章.
更新:
此外,我们应将Azure密钥保管库访问策略权限设置为存储.
Set-AzureRmKeyVaultAccessPolicy -VaultName 'jasonkey01' -ResourceGroupName 'jasontest' -ObjectId '556ca95d-2f50-4acd-b98e-a111b5b41b66' -PermissionsToStorage 'all'
这是关于我的keyvault的截图:
通过这种方式,我们可以使用您的脚本为存储帐户添加密钥保管库.
Update2:
我重现了这个错误,根本原因是我们无法授予服务主体权限Azure Key Vault.
我们可以使用此命令查找对象ID,与错误消息相同.
Get-AzureRmADServicePrincipal -SearchString "Azure Key Vault"
然后我们授予此服务主体的权限,使用此脚本:
New-AzureRmRoleAssignment -ObjectId '2f6d671f-6c8d-4104-812a-390c5648aed0' -RoleDefinitionName 'Storage Account Key Operator Service Role' -Scope '/subscriptions/53847abb-xxxx-xxxx-xxxx-xxxxe29axxxx/resou
rceGroups/jasonkey/providers/Microsoft.Storage/storageAccounts/jasondisk321'
这是我的结果:
Update3:
运行后Add-AzureKeyVaultManagedStorageAccount,我们应该运行此命令来获取秘密URI:
Set-AzureKeyVaultManagedStorageSasDefinition -Service Blob -ResourceType Container,Service -VaultName yourKV
-AccountName msak01 -Name blobsas1 -Protocol HttpsOnly -ValidityPeriod ([System.Timespan]::FromDays(1)) -Permission Read,List
结果如下:
有关获取秘密URI的更多信息,请参阅此文章.
| 归档时间: |
|
| 查看次数: |
892 次 |
| 最近记录: |