У меня есть подписка Azure, в которой есть все ресурсы для моего веб-приложения. Я создал еще одного клиента ActiveDirectory, определил приложение AD в клиенте и настроил его в качестве поставщика проверки подлинности для моего AppService. Теперь я хочу создать ресурс KeyVault в своей подписке и предоставить моему приложению AD доступ к KeyVault.
В документации по Azure KeyVault говорится, что нужно выполнить следующую команду PS:
Set-AzureRmKeyVaultAccessPolicy -VaultName <KVName> -ObjectId <ClientId> -PermissionsToKeys get
Однако это возвращает следующую ошибку:
Cannot find the Active Directory object '<ClientId>' in tenant '<MyDefaultTenantId>'
Проблема, похоже, в том, что мой KV не находится в том же клиенте AD, что и мое приложение AD, но команда Set-AzureRmKeyVaultAccessPolicy, похоже, не имеет аргумента TenatId.
Могу ли я как-нибудь достичь того, чего хочу? Нужно ли мне переместить мое приложение AD в клиент AD по умолчанию?