Доступ запрещен с помощью задачи настройки приложений Azure в конвейере DevOps
Я пытаюсь использовать задачу настройки приложений Azure DevOps и продолжаю получать сообщение об ошибке «Доступ запрещен».
Я проверил трижды, а у директора службы есть обе;
- Разрешения владельца на уровне администратора для ресурса App Config.
- Полные разрешения на получение/список для KeyVault, используемого экземпляром App Config.
Кажется, я мало что могу «ошибиться» с этим конкретным расширением — варианты ограничены:
- Выберите подключение услуги
- Выберите экземпляр конфигурации приложения.
.. и это все
У кого-нибудь есть предложения?
Ответы 3
Роль «Владелец» не предоставляет доступ к значениям конфигурации.
Участник или владелец: используйте эту роль для управления ресурсом конфигурации приложения. Он предоставляет доступ к ключам доступа к ресурсу. Хотя доступ к данным конфигурации приложения можно получить с помощью ключей доступа, эта роль не предоставляет прямого доступа к данным с помощью Microsoft Entra ID. Эта роль необходима, если вы получаете доступ к данным конфигурации приложения через шаблон ARM, Bicep или Terraform во время развертывания.
Вам понадобится роль «Читатель данных конфигурации приложения», если вам нужно читать значения, или «Владелец данных конфигурации приложения», если вам нужен доступ для чтения, записи и удаления к данным конфигурации приложения.
Да, хороший улов! Я думал, что Владелец включил в него дополнительные разрешения. Спасибо!
В дополнение к ответу Риквдбоша:
- Если хранилище содержит ссылки на Key Vault, перейдите к соответствующему Key Vault и назначьте роль
Key Vault Secret User, если в разделеAccess policiesв качестве модели разрешений выбрано управление доступом на основе ролей Azure.
См. Получение настроек из конфигурации приложения с помощью Azure Pipelines.
1. Проверьте роли вашего ИП
Используя задачу «Конфигурация приложений Azure» в конвейере Azure DevOps для извлечения пар «ключ-значение» из хранилища конфигурации приложений, вам необходимо предоставить поставщику услуг следующие роли.
- Роль читателя данных конфигурации приложения в вашей конфигурации приложения.
- Роль секретного пользователя Key Vault вашего Key Vault.
Подробную информацию см. в разделе Получение настроек из конфигурации приложения с помощью конвейеров Azure.
2. Проверьте сеть конфигурации вашего приложения.
Если вы включаете частную конечную точку в конфигурации приложения и используете агент, размещенный на MS, или используемый вами автономный агент не имеет разрешения на доступ к вашей частной конечной точке, у вас возникнет та же ошибка 403.
Перейдите в Конфигурацию приложения -> Настройки -> Сеть.
Если вы выберете первый и второй вариант, вам необходимо использовать локальный агент и настроить его сеть для доступа к вашей частной конечной точке. Агент, размещенный в Microsoft, не может получить доступ к вашей частной конечной точке, поскольку он использует общедоступный IP-адрес.
Существует ли управляемое системой удостоверение между хранилищем ключей и конфигурацией приложения Azure, к которому требуется доступ?