azure - 对象 ID '87c92100-.....' 的客户端 '87c92100....' 无权执行操作

Question

Rukmini，SP 在订阅上具有贡献者角色，不确定为什么会出错，并且在将其添加为读者角色后可以正常工作吗？ 这是一个快照

我正在尝试从 az cli(terraform 命令) 进行一些操作，但出现以下错误:

The client '87c92100-.....' with object id '87c92100....' does not have authorization to perform action 'Microsoft.Resources/subscriptions/resourcegroups/read' over scope '/subscriptions/f151ee3f-4725-......../resourcegroups/tfmainrg' or the scope is invalid

我到处搜索，RG、AAD、存储帐户...无法找到该对象或客户端的所在位置。你能告诉我如何找到这是什么物体吗？谢谢

Answer 1

我尝试在我的环境中重现相同的情况，但得到了如下相同的错误:

如果用户没有读取资源组的访问权限/角色，通常会出现“授权失败”错误。

要解决该错误，请确保为订阅级别的用户分配读者角色，如下所示:

转至 Azure 门户 -> 订阅 -> 选择订阅 -> 访问控制 (IAM) -> 添加角色分配 -> 选择读者

您还可以使用 az cli 通过以下命令将 Reader 角色分配给用户:

The Owner or User administrator role is required to assign any role. So, use another tenant level Owner to assign the role.

az role assignment create --assignee-object-id UserObjectID --scope subscriptions/SubscriptionID --role reader

读者角色已成功授予用户，如下所示:

分配角色后，我能够成功读取资源组:

az group show -n ResourceGroupName

根据您的进一步要求，您可以引用以下MsDoc分配角色:

Azure built-in roles - Azure RBAC