servicePrincipal 需要什么角色才能从 AZ CLI 创建 AKS
What Roles does a servicePrincipal need to create AKS from AZ CLI
大家好,我尝试在我的 CI 中创建一个 AKS,但我很难获得所需的权限。
我正在使用服务主体登录,创建一个资源组,然后尝试创建一个 aks。
- az login --service-principal -u ${AZ_PRINC_USER} -p ${AZ_PRINC_PASSWORD} --tenant ${AZ_PRINC_TENANT}
- az group create --name ${AZ_RESOURCE_GROUP} --location ${AZ_RESOURCE_LOCATION}
- az aks create --name ${AZ_AKS_TEST_CLUSTER} --resource-group ${AZ_RESOURCE_GROUP} --node-count ${AZ_AKS_TEST_NODECOUNT} --generate-ssh-keys
但是执行会报错:
错误:当前用户需要目录权限才能注册应用程序。关于如何配置,请参考'https://docs.microsoft.com/azure/azure-resource-manager/resource-group-create-service-principal-portal'。原始错误:权限不足,无法完成操作。
知道需要哪些权限吗?似乎应该有一个目录权限...但我真的无法找到并分配它。
您需要授予它在 Azure AD 中创建应用程序的权限(如果您不预先创建这些应用程序)。您还需要授予它创建 AKS (Microsoft.ContainerService/managedClusters/write
) 的权限,并且如果要部署到现有子网,您需要授予它分配角色 (Microsoft.Authorization/roleAssignments/write
) 的权限。这将是逻辑上的最低限度推导,但我从未尝试过。您可能无法仅使用这些权限来执行此操作
您可能还需要一些 Microsoft.Network
权限
大家好,我尝试在我的 CI 中创建一个 AKS,但我很难获得所需的权限。
我正在使用服务主体登录,创建一个资源组,然后尝试创建一个 aks。
- az login --service-principal -u ${AZ_PRINC_USER} -p ${AZ_PRINC_PASSWORD} --tenant ${AZ_PRINC_TENANT}
- az group create --name ${AZ_RESOURCE_GROUP} --location ${AZ_RESOURCE_LOCATION}
- az aks create --name ${AZ_AKS_TEST_CLUSTER} --resource-group ${AZ_RESOURCE_GROUP} --node-count ${AZ_AKS_TEST_NODECOUNT} --generate-ssh-keys
但是执行会报错:
错误:当前用户需要目录权限才能注册应用程序。关于如何配置,请参考'https://docs.microsoft.com/azure/azure-resource-manager/resource-group-create-service-principal-portal'。原始错误:权限不足,无法完成操作。
知道需要哪些权限吗?似乎应该有一个目录权限...但我真的无法找到并分配它。
您需要授予它在 Azure AD 中创建应用程序的权限(如果您不预先创建这些应用程序)。您还需要授予它创建 AKS (Microsoft.ContainerService/managedClusters/write
) 的权限,并且如果要部署到现有子网,您需要授予它分配角色 (Microsoft.Authorization/roleAssignments/write
) 的权限。这将是逻辑上的最低限度推导,但我从未尝试过。您可能无法仅使用这些权限来执行此操作
您可能还需要一些 Microsoft.Network
权限