Azure – RBAC для группы управления
Я не могу создать подключение к службе для группы управления. Ниже более подробная информация
Я создал группу управления (my-mg) и добавил/назначил 2 подписки (dev-sub и prod-sub).
Создана регистрация приложения, скажем, MG-APP.
Назначена MG-APP роль участника группы управления как в подписках dev-sub, так и в prod-sub.
В Azure DevOps я пытаюсь создать подключение к службе на уровне группы управления, используя принцип обслуживания (вручную), и указал идентификатор и секрет принципа обслуживания MG-APP, и при проверке соединения выдается следующая ошибка.
Клиент «117aac40-82******» с идентификатором объекта «117aac40-82******» не имеет полномочий на выполнение действия «Microsoft.Management/managementGroups/read» в области «/providers/Microsoft». .Management/managementGroups/my-mg
Пожалуйста, дайте мне знать, если я что-то упускаю?
Спасибо, Правин
я не вижу IAM на уровне MG. Я провел достаточно исследований и не смог найти никаких ссылок на то, где найти IAM для MG.
Вскоре я поделюсь с вами несколькими скриншотами в разделе ответов.
Ответы 1
Основываясь на вашем описании, я смог воспроизвести сбой при проверке настройки соединения службы ARM с областью группы управления, когда базовому субъекту-службе не было предоставлено назначение роли в области группы управления.
Чтобы настроить IAM для группы управления, дважды проверьте свойства AAD, можете ли вы управлять доступом ко всем подпискам Azure и группам управления в этом клиенте; затем перейдите к колонке «Контроль доступа (IAM)» my-mg для назначения роли.
настройка в Microsoft Entra для доступа и управления всеми MG и подписками — это то, чего мне не хватало. Из-за этого я не смог нажать на MG. Спасибо
Согласно вашему описанию, у SP не было назначения ролей в области MG.