那些遇到过的问题

如何将角色分配给来自不同订阅的Azure服务主体?

Gan*_*Pol 5 azure azure-active-directory

目前的问题陈述
,我正在借助 azure terraform 在不同订阅中创建/修改 azure 资源。

错误 

Principal <appid> does not exist in the directory {destination-tenant-id-for which contribution role required}
Run Code Online (Sandbox Code Playgroud)

考虑以下场景。
我们希望在一个订阅中创建 Azure AKS 集群,并在同一执行中,我们希望更新另一订阅中的 DNS 定义。如果我们在同一个订阅中同时拥有 ie DNS 区域和 aks 集群,则此过程运行良好,但如果这两个资源位于不同的订阅中,则此过程将不起作用。

采取的步骤
创建服务主体而不分配 

az ad sp create-for-rbac -n sp-terraform-001 --skip-assignment
Run Code Online (Sandbox Code Playgroud)

为当前订阅的当前 SP 分配贡献者角色

az role assignment create --assignee <appid>  --role Contributor --scope /subscriptions/<sub-id>
Run Code Online (Sandbox Code Playgroud)

*为不同订阅的当前 sp 分配贡献者角色。它将失败并显示 *

az role assignment create --assignee <appid>  --role Contributor --scope /subscriptions/<diff-sub-id>/<resource-group>....
Run Code Online (Sandbox Code Playgroud)

请让我知道访问其他订阅中的资源的正确步骤

Sam*_*gan 6

您可以将服务主体的权限分配给多个订阅,这不是问题,因为 SP 位于订阅之外,它位于 Azure AD 中。

但是,您无法将对服务主体所在的不同 Azure AD 租户中的资源的权限分配给服务主体,这听起来像是您正在尝试在此处执行的操作。

归档时间:

查看次数:

7410 次

最近记录:

4 年,1 月 前
相关归档
如何排除属性在Azure表存储中保留? 22
如何在Azure Compute Emulator上配置Web角色以像本地IIS(静态URL)一样工作 14
node-gyp的node.js应用程序无法在azure网站上部署 12
如何配置Azure VM端点ACL以允许从同一门户上的Azure Webjob进行连接 6
发布JSON数据WebAPI 6
Azure 应用程序见解内存使用情况 6
如何在Azure中部署和托管.NET Core自托管控制台应用程序? 5
我需要做什么才能删除这个已通过所有初始检查的 Azure Active Directory 租户? 5
Azure WebJob函数有错误 4
无法使用 databricks-connect“V2”V.13.2 访问 databricks 集群 4
难疑归档
如何判断Bash中是否存在常规文件? 3069
Bower和npm有什么区别? 1723
如何按字典值对字典列表进行排序? 1722
检索HTML元素的位置(X,Y) 1418
如何在Python中通过索引从列表中删除元素? 1381
你如何存放未跟踪的文件? 1287
type()和isinstance()之间有什么区别? 1163
Pythonic方式创建一个长多行字符串 1160
如何在Git中仅提交区分大小写的文件名更改? 1157
servlet如何工作?实例化,会话,共享变量和多线程 1105