Какие роли нужны сервису для создания AKS из интерфейса командной строки AZ

Привет, вместе, я пытаюсь создать AKS в моем CI, но я борюсь с необходимыми привилегиями.

Я использую учетную запись участника службы, создаю группу ресурсов, а затем пытаюсь создать файл aks.


- az login --service-principal -u ${AZ_PRINC_USER} -p ${AZ_PRINC_PASSWORD} --tenant ${AZ_PRINC_TENANT}
- az group create --name ${AZ_RESOURCE_GROUP} --location ${AZ_RESOURCE_LOCATION}
- az aks create --name ${AZ_AKS_TEST_CLUSTER} --resource-group ${AZ_RESOURCE_GROUP} --node-count ${AZ_AKS_TEST_NODECOUNT} --generate-ssh-keys

Однако выполнение сбрасывает ошибку:

ОШИБКА: текущему пользователю необходимы права доступа к каталогу для регистрации приложения. Для получения информации о настройке см. 'https://docs.microsoft.com/azure/azure-resource-manager/resource-group-create-service-principal-portal ». Исходная ошибка: недостаточно прав для завершения операции.

Есть идеи, какие привилегии необходимы? Кажется, должно быть разрешение на каталог ... но я не могу его найти и назначить.


azure continuous-integration kubernetes service-principal
person Bliv_Dev    schedule 05.10.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

вам необходимо предоставить ему разрешения на создание приложений в Azure AD (если вы не создали их заранее). вам также необходимо предоставить ему разрешения на создание AKS (Microsoft.ContainerService/managedClusters/write), и вам необходимо предоставить ему разрешения для назначения ролей (Microsoft.Authorization/roleAssignments/write), если вы хотите развернуть в существующей подсети. это был бы минимум, полученный логически, но я никогда не пробовал. возможно, вы не сможете сделать это только с этими разрешениями

вам, вероятно, также понадобятся Microsoft.Network разрешения

person 4c74356b41    schedule 05.10.2019
comment
есть ли способ просто добавить разрешения с помощью az? - person Bliv_Dev; 05.10.2019
comment
docs.microsoft.com/en- нас / cli / лазурный / роль / - person 4c74356b41; 05.10.2019