客户的订阅管理员授予我(MS 帐户)其资源组之一的贡献者角色。
当我尝试在该资源组中创建存储帐户时,出现以下错误:
'AuthorizationFailed' does not have authorization to perform action 'Microsoft.Storage/register/action' over scope
我通过 Powershell 登录订阅并列出了可用的提供商,发现大多数都没有注册。 当我尝试注册时,出现该错误。
为什么他们没有注册?管理员应该采取什么措施来纠正这个问题?以后添加贡献者时应该怎样做才能避免这个问题?现在作为该 RG 的贡献者,我能做的不多。
最佳答案
I logged into the Subscription via Powershell and listed the available providers, and found that most are not registered. When I try to register, I get that error.
您收到此错误的原因是订阅管理员已将您置于特定资源组的Contributor 角色。他们没有向您授予对 Microsoft.Storage 资源提供程序的任何权限。为了让您注册此资源的订阅,您需要对 Microsoft.Storage 资源提供程序具有 Write 权限。
您可以要求订阅管理员授予您适当的权限,或者他们可以向该资源提供商注册订阅。
更新 - 跟进问题
my understanding was that Contributor role simply allowed the specified user to create resources in the group.
你的理解是正确的。通过资源组中的贡献者角色,您应该能够在其中创建资源。
At one point in this role assignment does the Subscription administrator specify which resources can be created and which not? Or is it that the limitation is somehow on the way the Subscription is set up?
嗯,是的,也不是。因此,如果您被分配了一些总体角色,例如贡献者,您应该能够创建任何类型的资源。然而,通过自定义角色,管理员可以获得 super 创意,并且只允许您创建某种类型的资源。但是,在创建某种资源之前,应向资源提供者注册订阅。
我理解整个事情的结构是,Azure 中的每个产品团队都负责提供自己的功能。所有这一切的中心点是 Azure 资源管理器,它提供了基于角色的访问控制等功能。
我们以 Azure 存储为例。与存储帐户交互的功能(从管理角度来看,如创建、删除等)是由存储团队使用称为存储资源提供程序 (SRP) 的东西提供的。因此,如果您仔细观察,就会发现每个功能都有一个资源提供者。由于我不知道的原因,默认情况下并非所有资源提供程序都可供您使用(可能是成本原因),并且订阅管理员必须向该资源提供程序注册他/她的订阅,以便可以在该订阅中创建此类资源。
关于azure - 在 Azure 中,作为资源组贡献者,为什么我无法创建存储帐户?应该采取哪些措施来防止出现这种情况?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37023313/