为什么我在为 Runbook 创建 Webhook 时遇到授权失败异常？

Question

我正在尝试为我创建的运行手册创建一个 webhook。在 UI 中，“新建 Webhook”按钮显示为灰色且无法选择。当我尝试 New-AzureRmAutomationWebhook powershell 命令时，它失败并出现以下异常：

New-AzureRmAutomationWebhook : AuthorizationFailed: 客户端 '*****' 对象 id '******-****-****-****-****** ****' 无权执行操作 'Microsoft.Automation/automationAccounts/webhooks/action' 超出范围 '/subscriptions/*****/resourceGroups/*******/providers/Microsoft.Automation/automationAccounts/********/webhooks/generateUri' 其中星号是我的帐户特定信息。

我属于一个组，该组是 Runbook 和自动化帐户所在资源组的所有者。我可能会看到此错误的原因有哪些？如何解决？

谢谢！

Answer 1

如果我理解正确，您可以成功创建 RunBook，但在尝试为 Runbook 创建 webhook 时收到上述 authZ 异常？这肯定看起来像 RBAC 问题，所以我建议您首先检查的是自动化帐户上的 RBAC 分配。您可以通过Azure Portal 或使用Get-AzureRmRoleAssignment 的PowerShell 查看分配给您的角色
确保您在托管自动化帐户的资源组上具有“所有者”角色。我可以确认资源组上的“所有者”角色是创建 webhook 别名所需的全部内容。该按钮呈灰色显示的事实表明您可能缺少导致失败的所需角色分配。还要检查您的订阅（或资源组）是否有任何阻止创建 webhook 资源的 Azure 管理策略。如果 Runbook 处于草稿模式且尚未发布，则该按钮可能变灰的唯一其他方式是，您只能为已发布的 Runbook 创建 Webhook。也就是说，您将收到的错误将明确指出没有与 Runbook 关联的已发布版本，而您的方案似乎并非如此。 以下是一些可能有用的资源： 1.managing RBAC assignments for Azure Automation 2.Starting an Azure Automation Runbook with a Webhook