Azure 用户分配的托管服务标识在 Azure VM 中不起作用

Question

我在规模集中有一个 VM，它附加了一个用户分配的 MSI。此 MSI 具有对特定密钥保管库的读取权限，在其访问策略选项卡中设置。

我需要从 VM 中访问密钥保管库。 az 虚拟机上安装了 CLI。尝试登录时出现以下错误：

> az login --identity -u /subscriptions/subscriptionId/resourcegroups/group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/name       
No access was configured for the VM, hence no subscriptions were found

当我使用 az login 交互登录并在 https://microsoft.com/devicelogin 输入显示的代码时，效果很好...

但是，使用 MSI 的目的是让它在没有交互的情况下工作...

其他人有这个问题吗？

Answer 1

az login --identity 用于访问 Azure 资源管理器。这使您能够对 Key Vault 执行 control-plane/management 操作。这相当于为 https://management.azure.com/

获取令牌

Key Vault 访问策略启用对 Vault 的数据平面访问。为此，您需要 https://vault.azure.net

的令牌

查看以下教程：

Linux: https://docs.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/tutorial-linux-vm-access-nonaad

Windows: https://docs.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/tutorial-windows-vm-access-nonaad

Azure 用户分配的托管服务标识在 Azure VM 中不起作用

Azure user-assigned managed service identity not working from within Azure VM

azure-keyvault

azure-vm-scale-set

azure-managed-identity