无权将 Azure 角色添加到帐户消息。
我正在尝试将 Azure 角色分配添加到存储帐户。我正在二头肌中创建一个函数应用程序,下一步是,我想为该应用程序添加“存储 Blob 数据所有者”角色。
这是通过 github 操作和二头肌脚本在 Github 中执行的。
“Microsoft.Authorization/roleAssignments”类型的模板资源“guid”授权失败。对象 ID 为“client id”的客户端“client id”无权在范围“/subscriptions//resourceGroups/rg-”执行操作“Microsoft.Authorization/roleAssignments/write”
因此,解决方案是添加创建一个具有写入权限的自定义角色,但如何将该自定义角色添加到二头肌中的函数应用程序
资源 roleAssignmentStorage 'Microsoft.Authorization/roleAssignments@2020-04-01-preview' = { 名称:guid(订阅().id、principalId、roleDefinitionResourceId) 特性: { 角色定义Id:角色定义资源Id 主体ID:主体ID 主体类型:“服务主体” } }
我不知道如何分配我创建的自定义 RBAC 角色
最佳答案
该错误是否源于以下事实:执行此 Bicep 模板的任何用户/应用程序都无权设置 RBAC 权限? 要在 Bicep 模板中分配 RBAC 权限,执行模板的主体需要资源/资源组/订阅的用户访问管理员角色或所有者角色。
关于azure - 如何为 Bicep 中的应用程序分配自定义角色,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/74745461/