Azure 所有者角色无法创建资源组答案

【问题标题】：Azure Owner Role cannot create Resource GroupAzure 所有者角色无法创建资源组
【发布时间】：2018-01-04 13:59:07
【问题描述】：

我在我的雇主的 Azure 订阅中被分配了一个所有者角色。他能够创建资源组，但我不能。我们都想知道为什么我已经被分配为所有者，除了订阅级别之外的最高角色。

当我尝试az group create --name myGroup -l southeastasia 命令时，它的响应是

The client 'live.com#<myAccount>@outlook.com' with object id '<object ID>'
does not have authorization to perform action 'Microsoft.Resources/subscriptions/
resourcegroups/write' over scope '/subscriptions/<subscription>/resourcegroups/<myGroup>'.

编辑：我没有订阅级别的资源

【问题讨论】：

您好，如果您使用此帐户登录Azure Portal，您可以创建一个资源组。您能在 Portal 中看到订阅吗？
我可以在门户中看到“订阅”刀片，但我未经授权
我建议您可以使用您的雇主帐户重新分配Owner 角色。如果可能的话，你能显示错误截图吗？
另外，如果可能的话，您可以创建一个 sp 来创建资源组和资源。看我的回答。
您应该会看到像这样的订阅imgur.com/a/6XKEV

标签： azure azure-cli azure-resource-group

【解决方案1】：

您的租户中是否有多个订阅？如果是，你应该设置它。

##list subscription
az account list --output table

##change the active subscription
az account set --subscription "My Demos"

如果你只有订阅，我建议你可以创建一个 sp，然后使用 sp 创建一个新的资源组。看到这个link。

更新：

您应该在订阅级别赋予Owner 角色，根据您的屏幕截图，您在资源组角色中赋予Owner 角色，您只能在资源组中创建资源。您也无法创建新的资源组。您应该为您的订阅提供Owner 角色，如下所示：

【讨论】：

我不拥有订阅，它是我雇主的。我会要求他在该级别上给我所有权，但他可能会犹豫是否允许我访问所有内容。即使我的所有权处于订阅级别，他还能限制我在帐户中可以执行的操作吗？
@JohnStephen.19 你想创建什么资源？ 1. 你可以让你的雇主先创建资源组，然后你可以在里面创建资源。您无需创建资源组。
@JohnStephen.19 第二个解决方案，您可以创建自定义角色来管理订阅。看到这个docs.microsoft.com/en-us/azure/active-directory/…
我的老板接受了第二种解决方案，但我们还没有这样做。我相信他没有时间这样做，只要他可以授权我创建自定义角色并首先分配它。无论如何，谢谢

【解决方案2】：

注意：此问题更可能发生在较新的订阅中，并且通常发生在之前从未在该订阅中创建过某种资源类型的情况下。

订阅管理员通常通过在订阅级别授予资源组所有者贡献者权限来解决此问题，这与他们将访问隔离到资源组级别而不是订阅级别的策略相矛盾。

有关根本原因和快速解决方案，请参阅“Common problem when using Azure resource groups & RBAC"。

【讨论】：

回答中有用的博客文章链接显示了在订阅级别授予贡献者是多么的矫枉过正/没有必要

【解决方案3】：

嗯，错误清楚地表明您对范围没有权限，因此您要么是错误子的所有者，要么您有一个专门限制它的角色。

【讨论】：

那个范围还没有创建，我正在创建那个资源组，所以这个范围不会被提前授权给我
订阅是范围