Скрипт Powershell New-AzRoleAssignment с Azure Devops: операция вернула неверный код состояния «Запрещено»

Я пытаюсь назначить разрешения "Storage Blob Data Contributor" учетной записи хранения с помощью Azure Devops Pipeline.

У меня есть конфигурация:

  • Подключение к службе: TestSubscription
  • Сервисное соединение является членом группы, в которой есть участник RBAC на уровне подписки.
  • Соединение службы создается с помощью workloadIdentity.

Я использую задачу Azure Devops ниже.

- task: AzurePowerShell@5
  displayName: "Set Permissions Storage Account for Service Principal"
  inputs:
    azureSubscription: 'TestSubscription'
    ScriptType: 'FilePath'
    ScriptPath: '$(Pipeline.Workspace)/drop/Scripts/SetStoragePermission.ps1'
    ScriptArguments: '-ResourceGroup $(ResourceGroup) -StorageAccountNameStaticWebApp $(StorageAccountNameStaticWebApp) -ClientIDAppRegistration $(ClientIDAppRegistration) -IDTestSubscription $(IDTestSubscription)'
    azurePowerShellVersion: 'LatestVersion'

Сценарий:

param(

    [string]$ClientIDAppRegistration,
    [string]$IDTestSubscription,
    [string]$StorageAccountNameStaticWebApp,
    [string]$ResourceGroup

)


New-AzRoleAssignment -ApplicationId $ClientIDAppRegistration -RoleDefinitionName "Contributor" -Scope "/subscriptions/$($IDTestSubscription)/resourceGroups/$($ResourceGroup)/providers/Microsoft.Storage/storageAccounts/$($StorageAccountNameStaticWebApp)/"

У меня есть другой репозиторий, где это работает. С той же конфигурацией. Но в другом репозитории с тем же подключением к службе и той же задачей мне выдается ошибка.

Есть ли у вашего субъекта-службы разрешения Microsoft.Authorization/roleAssignments/write, назначенные в соответствующей области или выше?

rufer7 08.04.2024 19:32

@ rufer7, нет, это не так. Но меня смущает, почему другой репозиторий работает, а этот нет. Я назначил роли администратора пользователя и разработчика приложений.

Sergio 08.04.2024 19:41

Хм, назначение в другом репо когда-нибудь работало или его можно было назначить вручную? Это та же самая учетная запись хранения?

rufer7 08.04.2024 19:49

@rufer7, я думал о том же. Я удалил учетную запись хранения и создал новую из конвейера Azure Devops, задача по настройке разрешений работает в другом репозитории. Мне нужны разрешения на загрузку файлов в контейнер из конвейера.

Sergio 08.04.2024 19:57

Это другая учетная запись хранения, чем для другого репо. Если да, то назначены ли какие-либо роли субъекту-службе в пункте меню IAM?

rufer7 08.04.2024 20:01

@ rufer7, да, это другое. Для уверенности я постоянно создаю новую учетную запись хранения. Сначала я создаю группу ресурсов, затем учетную запись хранения в группе ресурсов и, наконец, загружаю файлы в контейнер. Учетная запись субъекта-службы имеет роли администратора пользователя и разработчика приложения.

Sergio 08.04.2024 21:18

@ rufer7 Я назначил роль участника данных Storage Blob субъекту-службе из области подписки. На данный момент я пропускаю задачу установки разрешений. Спасибо за ваше время.

Sergio 08.04.2024 22:34

@Sergio, рад узнать, что проблема решена путем назначения роли участника данных Storage Blob Data субъекту-службе из области подписки. Я также протестировал вашу задачу с помощью сценария PowerShell, добавил исправление разрешения принципала службы, у меня это работает. Надеюсь, это будет полезно, спасибо.

wade zhou - MSFT 09.04.2024 05:03
powershell azure-devops azure-powershell azure-pipelines-yaml
08.04.2024 19:20
Стоит ли изучать PHP в 2023-2024 годах?
Стоит ли изучать PHP в 2023-2024 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
0
8
350
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

AzurePowerShell@5 использовал субъект-службу из подключения к службе, чтобы назначить роль учетной записи хранения. Знак Forbidden указывает на то, что разрешения субъекта-службы недостаточно.

Как вы уже сделали, вы можете это исправить, назначив роль Storage Blob Data Contributor role субъекту-службе из области подписки.

Что касается задачи DevOps, я могу воспроизвести ту же ошибку, когда субъект-служба находится в подписке и группе ресурсов.

Чтобы исправить ошибку, вы можете добавить субъект-службу в качестве contributor в группу ресурсов.

Конвейер работает успешно, и в разрешении User access Administrator добавлено:

Когда вы пытаетесь добавить разрешения contributor к учетной записи хранения, измените значение Storage Blob Data Contributor как -RoleDefinitionName в сценарии PowerShell.

Запустите задачу еще раз, и разрешения "Storage Blob Data Contributor" будут добавлены для субъекта-службы в учетной записи хранения.

@wade-zhou-msft Спасибо за ваше время и ответ. Я удалил скрипт powershell. он больше не нужен, потому что я предпочитаю иметь роль «участник данных BLOB-объектов хранилища» вместо администратора доступа пользователей. Я не уверен, но, возможно, стоит упомянуть, что для назначения роли участника данных BLOB-объекта хранилища больше не требуется использовать PowerShell. Но это зависит от вас. Большое спасибо за ваше время, я ценю вашу помощь.

Sergio 09.04.2024 09:54
09.04.2024 05:01

Другие вопросы по теме

Как использовать интерфейс командной строки azcopy в Azure Devops Pipelines, работающем в Linux, с использованием управляемого удостоверения для аутентификации в общем файловом ресурсе Azure без токена SAS?
Бицепс, как ссылаться на родителя в модуле при использовании цикла
Перенаправление документации Azure DevOps REST API
Используйте регистрацию приложения в качестве PAT для Azure DevOps
Что такое reportgenerator@5. Не удалось найти его в документации Azure
Отправьте файлы в хранилище Azure с помощью Azure Devops Pipeline. невозможно запустить задание из-за ошибки: невозможно просканировать путь \\?\D:\a\1\s\drop\editor-docs
Получите разрешения пользователей в отношении репозиториев через API ADO
Azure devops React, ошибка встроенной сборки IOS в файле RCTAppDelegate.h
Azure DevOps Pipeline: создание и тестирование отдельных проектов .NET в одном решении
Соглашение об именовании хранилища ключей Azure для использования задачи преобразования файлов конвейера Devops

Похожие вопросы

Просмотр даты/времени создания переменной Powershell
Преобразование команды hexdump в Format-Hex
Получите разрешения пользователей в отношении репозиториев через API ADO
Powershell Outlook получить организатора собраний из отправленного элемента
Вопросы о тостах Powershell
Powershell переключает Bluetooth одним щелчком мыши
Как мне добавить поле в макет рабочего элемента?
FullyQualifiedErrorId: PositionalParameterNotFound,Microsoft.PowerShell.Commands.StartProcessCommand
Powershell выдает ошибку «Имя файла или расширение слишком длинное» при предоставлении путей к файлам для собственной команды
Анализ XML в Powershell: экранирование различных символов в XPath