【问题标题】:What Roles does a servicePrincipal need to create AKS from AZ CLIservicePrincipal 需要哪些角色从 AZ CLI 创建 AKS
【发布时间】:2019-10-05 03:46:06
【问题描述】:

大家好,我尝试在我的 CI 中创建 AKS,但我很难获得所需的权限。

我正在使用服务主体登录,创建资源组,然后尝试创建 aks。


- az login --service-principal -u ${AZ_PRINC_USER} -p ${AZ_PRINC_PASSWORD} --tenant ${AZ_PRINC_TENANT}
- az group create --name ${AZ_RESOURCE_GROUP} --location ${AZ_RESOURCE_LOCATION}
- az aks create --name ${AZ_AKS_TEST_CLUSTER} --resource-group ${AZ_RESOURCE_GROUP} --node-count ${AZ_AKS_TEST_NODECOUNT} --generate-ssh-keys

但是执行会报错:

错误:当前用户需要目录权限才能注册应用程序。配置方法请参考'https://docs.microsoft.com/azure/azure-resource-manager/resource-group-create-service-principal-portal'。原始错误:权限不足,无法完成操作。

任何想法什么特权是必要的?似乎应该有一个目录权限......但我真的无法找到并分配它。

【问题讨论】:

    标签: azure kubernetes continuous-integration service-principal


    【解决方案1】:

    您需要授予它在 Azure AD 中创建应用程序的权限(如果您没有预先创建这些应用程序)。您还需要授予它创建 AKS (Microsoft.ContainerService/managedClusters/write) 的权限,并且如果您想部署到现有子网,您需要授予它分配角色的权限 (Microsoft.Authorization/roleAssignments/write)。这将是逻辑上得出的最低限度,但我从未尝试过。您可能无法仅使用这些权限来执行此操作

    您可能还需要一些Microsoft.Network 权限

    【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2013-01-18
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-07-01
    • 1970-01-01
    • 2021-01-24
    相关资源
    最近更新 更多