那些遇到过的问题

Azure DevOps 管道错误:不允许更新租户 ID、应用程序 ID、主体 ID 和范围

Ken*_*y_I 3 azure-devops

我尝试在 Azure DevOps 上使用 ARM 创建 SQL Server。管道成功地为 Azure 门户创建了 SQL Server 资源,但我在 Azure DevOps 中遇到了奇怪的错误。为什么会发生这种情况以及如何解决?

错误:

There were errors in your deployment. Error code: DeploymentFailed.
##[error]RoleAssignmentUpdateNotPermitted: Tenant ID, application ID, principal ID, and scope are not 
allowed to be updated.
##[error]Check out the troubleshooting guide to see if your issue is addressed: 
https://docs.microsoft.com/en-us/azure/devops/pipelines/tasks/deploy/azure-resource-group-deployment? 
view=azure-devops#troubleshooting
##[error]Task failed while creating or updating the template deployment.
Run Code Online (Sandbox Code Playgroud)

YML:

task: AzureResourceManagerTemplateDeployment@3
  inputs:
    deploymentScope: 'Resource Group'
    azureResourceManagerConnection: 'TestRG-Conn'
    subscriptionId: '1111753a-501e-4e46-9aff-6120ed561111'
    action: 'Create Or Update Resource Group'
    resourceGroupName: 'TestRG'
    location: 'North Europe'
    templateLocation: 'Linked artifact'
    csmFile: '$(System.DefaultWorkingDirectory)/CreateSQLServer/azuredeploy.json'
   csmParametersFile: 
'$(System.DefaultWorkingDirectory)/CreateSQLServer/azuredeploy.parameters.json'
    deploymentMode: 'Incremental'
Run Code Online (Sandbox Code Playgroud)

模板中的变量:

"variables": {
"StorageBlobContributor": "[subscriptionResourceId('Microsoft.Authorization/roleDefinitions', '111111111111111111111-')]"
Run Code Online (Sandbox Code Playgroud)

},

模板资源:

"resources": [
        {
         "condition": "[parameters('enableADS')]",
         "type": 
"Microsoft.Storage/storageAccounts/providers/roleAssignments",
          "apiVersion": "2018-09-01-preview",
          "name": "[concat(variables('storageName'), 
'/Microsoft.Authorization/', variables('uniqueRoleGuid') )]",
           "dependsOn": [
             "[resourceId('Microsoft.Sql/servers', 
 parameters('serverName'))]",
             "[resourceId('Microsoft.Storage/storageAccounts', 
 variables('storageName'))]"
          ],
           "properties": {
            "roleDefinitionId": "[variables('StorageBlobContributor')]",
             "principalId": "[reference(resourceId('Microsoft.Sql/servers', 
 parameters('serverName')), '2018-06-01-preview', 
  'Full').identity.principalId]",
             "scope": "[resourceId('Microsoft.Storage/storageAccounts', 
 variables('storageName'))]",
             "principalType": "ServicePrincipal"
           }
         }
Run Code Online (Sandbox Code Playgroud)

ber*_*zns 10

就我而言,它是 RoleAssignment 的名称。它在资源组级别上是唯一的,但在订阅级别上不是唯一的。不确定名称唯一性的范围是什么。

  • 我刚刚检查过,唯一性范围是 AAD 租户。也就是说,同一租户中的两个订阅不能具有相同的 GUID,但可以在两个不同租户中具有相同的 GUID。 (3认同)
  • 也许我应该将此作为评论发布,但在我的问题中,没有关于相关资源的角色分配。 (2认同)

小智 7

您可能已经部署并删除了资源,但是,角色分配仍然存在,这就是它与之冲突的地方(4c7 ... 所说的内容)。因此,请检查存储帐户的权限 - 如果您使用托管身份,该身份将被删除,但角色分配将持续存在并将用户显示为“未知”,这也会在尝试再次部署时导致上述错误 - 有同样的问题,但我使用的是用于 aks 集群的托管身份。令人沮丧。

当您删除托管标识时,它不会删除为其创建的关联角色,我希望它被正确清理。

  • 很好的答案!令人惊讶的是,这些内容不会被自动删除 - 就像他们想让你陷入绝望的深渊一样 (4认同)

归档时间:

查看次数:

2364 次

最近记录:

4 年,6 月 前
相关归档
如何在任何分支上的每次新推送时触发 Azure Pipeline? 25
Azure Devops Pipeline:system.debug 和“启用系统诊断”之间的区别 11
如何在 Azure Pipelines 的每个阶段使用不同的服务连接? 8
Azure Devops Pipeline:第二个参数依赖于第一个参数 8
在 Azure Devops 中,查看特定状态下特定冲刺的总故事点的最简单方法是什么 7
在VSTS中缓存npm install任务 5
什么是 VSTS 链接设置功能? 4
Azure DevOps:审批者无法批准自己的 PR 3
azure pipelines - 如何根据条件任务结果中断/取消发布 1
如何使用 Azure DevOps Release Pipelines 在 Azure Web App 中的 wwwroot 目录外部署文件 1
难疑归档
最终C++书籍指南和列表 4246
你如何获得JavaScript的时间戳? 3844
使用Git版本控制查看文件的更改历史记录 2920
如何异步上传文件? 2841
如何测试空的JavaScript对象? 2730
Git获取远程分支 2088
如何在Java中声明和初始化数组? 1946
如何在Javascript中的数组开头添加新的数组元素? 1476
如何确定Python变量的类型? 1437
如何迭代Bash中变量定义的一系列数字? 1409