使用托管标识连接到 Azure 应用配置时出现 403

Question

我正在尝试使用托管标识从网络框架应用程序连接到 Azure 应用程序配置，但存在权限问题。

我如何连接

options.Connect(new Uri("https://myconfigstore.azconfig.io"), new ManagedIdentityCredential(clientId));

我已经尝试了使用门户可以找到的所有各种 clientId、objectids 和 applicationId guid，但无论何时使用 guid 调用它，总是收到错误的请求

Azure.Identity.CredentialUnavailableException: 'ManagedIdentityCredential authentication unavailable, 
the requested identity has not been assigned to this resource.
Status: 400 (Bad Request)

如果我在没有指定 clientId 的情况下创建 ManagedIdentityCredential，则会收到此错误

Azure.RequestFailedException: 'Service request failed.
Status: 403 (Forbidden)

我已授予我的管理标识 Azure 应用配置数据权限

这是我应该使用的 clientId 吗？

更新：

我刚刚尝试使用我的活动目录的 ID（AAD --> 属性），我得到了一个

Azure.RequestFailedException: 'Service request failed.
Status: 403 (Forbidden)

这只能意味着我使用了错误的 id，否则它应该像我看到的另一个错误一样返回 400（错误请求）。

完整代码

private static async Task Main()
    {
        var builder = new ConfigurationBuilder();

        const string clientId = "e589d9f1-xxxx-xxxx-xxxx-6bc940d50ab7";

        builder.AddAzureAppConfiguration(options =>
        {
            options.Connect(new Uri("https://myconfigstore.azconfig.io"), new ManagedIdentityCredential(clientId));
        });

        _configuration = builder.Build();

        Console.WriteLine("Number of keys: " + _configuration.GetChildren().Count());

        Console.WriteLine("Demo: " + _configuration["Demo"]);
    }

Answer 1

本文档演示了如何使用托管标识从应用服务访问应用配置，但您可以将应用服务替换为支持托管标识的任何其他 Azure 服务。 https://docs.microsoft.com/en-us/azure/azure-app-configuration/howto-integrate-azure-managed-service-identity

以下是我想说的几件事

• 确保在运行应用程序的 Azure 服务中启用了托管标识。
• 当您使用系统分配的托管标识时，您不需要提供客户端 ID。当您使用用户分配的托管标识时，您只需提供客户端 ID 。
• 确保托管标识在您的应用配置实例的访问控制中被授予应用配置数据读取者或应用配置数据所有者角色。
• 在角色分配后等待至少 15 分钟以传播权限。
• 托管标识只能在代码在 Azure 服务中运行时起作用。在本地运行时它不起作用。