azure - 除了贡献者之外，哪些 Azure 角色将允许执行 Add-AzureRmAutoscaleSetting

Question

我有一个 Powershell 脚本，用于部署Azure 云服务(经典)。直到今天，应用程序用户都被分配了一个贡献者角色。为了加强安全性，我们将撤销此贡献者角色，因为它过于广泛。

部署过程的一部分是使用 Add-AzureRmAutoscaleSetting 更新生产槽的 AutoScaling 设置。 :

Add-AzureRmAutoscaleSetting -Location "East US" -Name $scalingName -ResourceGroupName $resourceGroup -TargetResourceId $targetResourceId -AutoscaleProfile $autoscaleProfile

由于 Azure 用户不再被分配贡献者 角色，此命令现在失败并显示为“禁止”:

Add-AzureRmAutoscaleSetting : Exception type: ErrorResponseException, Message: Null/Empty, Code: Null, Status code:Forbidden, Reason phrase: Forbidden
At C:\Path\AzureRMTools.psm1:131 char:5
+     Add-AzureRmAutoscaleSetting -Location "East US" -Name $scalingNam ...
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Add-AzureRmAutoscaleSetting], PSInvalidOperationException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Insights.Autoscale.AddAzureRmAutoscaleSettingCommand

我尝试为用户分配许多不同的角色(我认为角色具有此权限) - 但他们似乎都没有权限允许我执行此操作。

我想知道哪个角色包含此权限？如果没有，是否可以创建一个允许执行命令的新角色。

谢谢

Answer 1

感谢@4c74356b41朝着正确的方向插入。

角色中似乎没有任何包含 Microsoft.insights/autoscalesettings/write 权限的构建，因此遵循 this tutorial我创建了一个新角色。

这是我创建的 json 文件:

{
    "Name": "Microsoft Insights Contributor",
    "IsCustom": true,
    "Description": "Allows the creation, edition, and deletion of AutoScaling rules from Microsoft.Insights",
    "Actions": [
        "Microsoft.Insights/*",
        "Microsoft.ClassicCompute/*"
    ],
    "NotActions": [],
    "DataActions": [],
    "NotDataActions": [],
    "AssignableScopes": [
        "/subscriptions/00000000-0000-0000-0000-000000000000"
    ]
}

然后执行以下命令将其添加到您的 Azure 订阅:

New-AzureRmRoleDefinition -InputFile '.\Microsoft Insights Contributor.json'

希望这对其他人有帮助

注意:由于我正在使用 Azure 云服务(经典)，我还需要一些 Microsoft.ClassicCompute 资源的权限