azure - 如何为 Bicep 中的应用程序分配自定义角色

Question

无权将 Azure 角色添加到帐户消息。

我正在尝试将 Azure 角色分配添加到存储帐户。我正在二头肌中创建一个函数应用程序，下一步是，我想为该应用程序添加“存储 Blob 数据所有者”角色。

这是通过 github 操作和二头肌脚本在 Github 中执行的。

“Microsoft.Authorization/roleAssignments”类型的模板资源“guid”授权失败。对象 ID 为“client id”的客户端“client id”无权在范围“/subscriptions//resourceGroups/rg-”执行操作“Microsoft.Authorization/roleAssignments/write”

因此，解决方案是添加创建一个具有写入权限的自定义角色，但如何将该自定义角色添加到二头肌中的函数应用程序

资源 roleAssignmentStorage 'Microsoft.Authorization/roleAssignments@2020-04-01-preview' = {名称:guid(订阅().id、principalId、roleDefinitionResourceId)特性: {角色定义Id:角色定义资源Id主体ID:主体ID主体类型:“服务主体”}}

我不知道如何分配我创建的自定义 RBAC 角色

Answer 1

该错误是否源于以下事实:执行此 Bicep 模板的任何用户/应用程序都无权设置 RBAC 权限？要在 Bicep 模板中分配 RBAC 权限，执行模板的主体需要资源/资源组/订阅的用户访问管理员角色或所有者角色。