gpt4 book ai didi

Azure AD 组 - Authorization_RequestDenied - 权限不足,无法完成操作

转载 作者:行者123 更新时间:2023-12-02 06:37:37 26 4
gpt4 key购买 nike

我正在尝试通过 Azure DevOps 使用以下 terraform 代码创建 Azure AD 组。

# Create Azure AD Group in Active Directory for AKS Admins
resource "azuread_group" "aks_administrators" {
#name = "${azurerm_resource_group.aks_rg.name}-administrators"
display_name = "${azurerm_resource_group.aks_rg.name}-${var.environment}-administrators"
description = "Azure AKS Kubernetes administrators for the ${azurerm_resource_group.aks_rg.name}-${var.environment} cluster."
security_enabled = true
}

我已按照以下步骤提供通过 Azure DevOps ARM 服务连接(服务原则)创建 Azure AD 组的权限。

• 为上一步中创建的服务连接提供创建 Azure AD 组的权限

• 转至 -> Azure DevOps -> 选择组织 -> 选择项目 terraform-azure-aks

• 转到项目设置 -> 管道 -> 服务连接

• 打开 terraform-aks-azurerm-svc-con

• 单击“管理服务主体”,将打开新选项卡

• 单击“查看 API 权限”

• 单击“添加权限”

• 选择 API:Microsoft API

• 常用的 Microsoft API:支持的旧版 API:Azure Active Directory Graph - 不推荐使用 Microsoft Graph

• 单击“应用程序权限”

• 检查 Directory.ReadWrite.All 并单击“添加权限”

• 单击授予管理员对默​​认目录的同意

但我收到以下错误:

Error: Creating group "xxxxxxxxxx-administrators"││ with azuread_group.aks_administrators,│ on 06-aks-administrators-azure-ad.tf line 2, in resource "azuread_group" "aks_administrators":│ 2: resource "azuread_group" "aks_administrators" {││ graphrbac.GroupsClient#Create: Failure responding to request:│ StatusCode=403 -- Original Error: autorest/azure: Service returned an│ error. Status=403 Code="Unknown" Message="Unknown service error"│ Details=[{"odata.error":{"code":"Authorization_RequestDenied","date":"2022-01-25T04:06:31","message":{"lang":"en","value":"Insufficient│ privileges to complete the│ operation."}}}]

最佳答案

请检查 Microsoft Graph 权限 Directory.ReadWrite.All 是否已提供给服务连接及其已获得管理员同意

我在我的环境中进行了相同的测试,我向我的服务主体授予了权限,但没有授予管理员同意,如下所示:

enter image description here

enter image description here

部署以下代码时,出现错误:

provider "azuread" {}
# Create Azure AD Group in Active Directory for AKS Admins
resource "azuread_group" "aks_administrators" {
#name = "ans-aks-administrators"
display_name = "ans-aks-test-administrators"
description = "Azure AKS Kubernetes administrators for the ans-aks-test cluster."
security_enabled = true
}

enter image description here

授予管理员同意后,问题得到解决:

enter image description here

enter image description here

<小时/>

如果问题仍然出现,请为服务连​​接服务主体添加新的 key 并使用以下代码:

provider "azuread" {
client_id = "ClientID of the service principal"
client_secret = "ClientSecret"
tenant_id = "<TenantID>"
}

# Create Azure AD Group in Active Directory for AKS Admins
resource "azuread_group" "aks_administrators" {
#name = "ans-aks-administrators"
display_name = "ans-aks-test-administrators"
description = "Azure AKS Kubernetes administrators for the ans-aks-test cluster."
security_enabled = true
}

关于Azure AD 组 - Authorization_RequestDenied - 权限不足,无法完成操作,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70851465/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com