Azure Resource Manager API用戶的訂閱范圍授權

Question

嘗試將Azure ARM集成在一起，其中我的代碼使用Azure API檢索整個訂閱中VM的完整列表。

成功完成此處所有（許多！）步驟，以使API用戶准備好身份驗證所需的所有相關ID。

使用相同的指令集，我們還可以授予該用戶“讀者”角色，以列出特定組中的VM（我們通過Azure UI進行了此操作）。 但是，我們未能成功實施此處的說明（通過CLI）為此用戶設置整個訂閱的讀者角色。

運行此：

天藍色角色分配create --objectId app-oid --roleName閱讀器--scope / subscriptions / subscription-id

或這個：

天藍色角色分配create --objectId app-oid --roleName閱讀器--subscription subscription-id --scope / subscriptions / subscription-id

產生此：

類型Application的主體不能有效地用於角色分配。

因此，當前，如果不為每個資源組添加特定的授權，就無法以編程方式瀏覽整套虛擬機。 有人知道在訂閱級別分配此權限的實際方法嗎？

Answer 1

在問題正文中鏈接的注釋區域中找到答案：在新門戶中，編輯訂閱並添加角色，就像對資源組一樣。 仍然對為什么CLI不支持此功能感到好奇。

Answer 2

使用Azure CLI創建和授權服務主體的步驟位於此處的文檔： https : //azure.microsoft.com/zh-cn/documentation/articles/resource-group-authenticate-service-principal-cli/

Answer 3

而不是使用--objectId app-oid嘗試使用-ServicePrincipalName <appId> https://github.com/Azure/azure-powershell/issues/4776