Я получаю следующую ошибку при попытке выполнить развертывание группы ресурсов.
LinkedAuthorizationFailed
«Клиент» с идентификатором объекта »имеет разрешение на выполнение действия« Microsoft.Web / Certific / write »в области действия / subscriptions /‹ subscriptionid1> / resourcegroups / ‹rgname1 > / Provider / Microsoft.Web / Certific / certificatename '; однако у него нет разрешения на выполнение действия' write 'в связанной области (ах)' / subscriptions / ‹subscriptionid2> / resourceGroups / ‹rgname2> /providers/Microsoft.KeyVault/vaults/keyvault01 '."
Шаблон ARM пытается получить сертификат из Keyvault, который находится в другой подписке. Шаблон развертывается с использованием субъекта-службы и имеет разрешение читатель на KeyVault.
Это нормально работает, если я установил роль участник или пользовательскую роль с разрешением «Microsoft.KeyVault / vaults / write» в Keyvault для субъекта-службы. Я удостоверился, что у Microsoft.Azure.WebSites есть разрешение GET и установлен флажок «Разрешить доступ к Azure Resource Manager для развертывания шаблона».
Шаблон ARM похож на тот, что вы можете увидеть здесь: https://github.com/Azure/azure-quickstart-templates/tree/master/201-web-app-certificate-from-key-vault
Любые идеи о том, почему это не с ролью «читателя». разрешение записи в Keyvault звучит как назначение большего количества привилегий, чем требуется.
Microsoft.KeyVault/vaults/secrets/read, чтобы на самом деле это сделать - person 4c74356b41 schedule 22.08.2018