無法創建 Azure AKS 群集:CreateRoleAssignmentError
[英]Cannot create Azure AKS cluster: CreateRoleAssignmentError
問題描述
我嘗試在全新訂閱中創建 AKS 群集。 通過 Web 界面創建集群時,最終會產生CreateRoleAssignmentError錯誤並顯示以下消息:
RoleAssignmentReconciler 重試超時:autorest/azure:服務返回錯誤。 Status=403 Code="AuthorizationFailed" Message="具有對象 ID 'foo' 的客戶端 'foo' 無權在范圍 '/subscriptions/bar/resourceGroups/MC_MyResourceGroup_mycluster_region/ 上執行操作 'Microsoft.Authorization/roleAssignments/write'提供者/Microsoft.Authorization/roleAssignments/az
請注意,根據文檔,集群是使用手動創建的服務主體創建的。 此服務主體在訂閱中的所有資源組上都具有“所有者”角色。
另請注意,我必須手動創建服務主體的原因是首先無法以其他方式創建集群。 當試圖在沒有明確指定服務主體的情況下創建集群時(即請求自動創建一個新的),產生了另一個錯誤:
ServicePrincipalProfile 中的憑據無效。 有關更多詳細信息,請參閱https://aka.ms/aks-sp-help 。 (詳細信息:adal:刷新請求失敗。狀態代碼 = '400'。響應正文:{"error":"unauthorized_client","error_description":"AADSTS700016:在目錄 'bar' 中找不到標識符為 'foo' 的應用程序。如果租戶的管理員未安裝應用程序或租戶中的任何用戶未同意該應用程序,則可能會發生這種情況。您可能將身份驗證請求發送給了錯誤的租戶。\\r\\n跟蹤 ID: 9ec6ed81-892d-4592 -b7b5-61842f5c1200\\r\\n相關 ID:bffbb112-7348-4403-a36f-3010bf34e594\\r\\n時間戳:2019-07-13 15:48:02Z":"6"1"02Z","7"1"0"0stime" -07-13 15:48:02Z “ ”trace_id的“: ”9ec6ed81-892d-4592-b7b5-61842f5c1200“, ”CORRELATION_ID“: ”bffbb112-7348-4403-a36f-3010bf34e594“, ”error_uri“:” HTTPS: //login.microsoftonline.com/error?code=700016 "})
我正在使用“初始”管理員用戶對新帳戶和訂閱進行這些操作,因此我認為所有權限都應該到位。 什么可以解釋上述錯誤?
2 個解決方案
解決方案1
1 已采納 2019-07-14 16:11:01
正如 OP 所問,這就是答案。 為了在 Azure 中創建資源(與哪些資源無關),您需要以下類型的權限: provider/resource/write 。 編輯也是如此。 這個基本原則適用於那里的所有資源。 現在讓我們比較所有者和貢獻者:
我有一個需要貢獻者角色才能工作的 AKS 模板 + 此自定義角色:
$role = Get-AzureRmRoleDefinition "Virtual Machine Contributor"
$role.Id = $null
$role.Name = "Assign AKS permissions to the vnet"
$role.Description = "Assign AKS permissions to the vnet for the inflation process"
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Authorization/roleAssignments/write")
使用此角色 + 貢獻者通過代碼創建的 AKS 集群功能齊全。
User Access Administrator是一個內置角色,當您成為租戶承認並授予自己對租戶下所有內容的訪問權限時,您將被授予該角色: https : //docs.microsoft.com/en-us/azure/role-based -access-control/elevate-access-global-admin 。 因此,如果您授予自己此角色,它顯然會起作用,但您可以使用更少的權限。
解決方案2
1 2020-05-04 13:48:53
在我的情況下,我通過再次執行“az login”並移動到正確的訂閱來解決它,然后我嘗試再次運行該命令。 有效。
另一個原因可能是您無權在該資源組上創建集群。 我以前遇到過這種問題,為此您應該聯系管理您訂閱的人以授予您權利。
我可以使用 centos 映像創建 Azure aks kubernetes 集群嗎?
[英]Can I create an Azure aks kubernetes cluster using a centos image?
嘗試使用 AKS 在 Azure 上創建托管 Kubernetes 集群時出現“不正確的填充”
[英]“Incorrect padding” when trying to create managed Kubernetes cluster on Azure with AKS
無法使用現有 VNET 和子網創建 Azure AKS 群集
[英]Unable to create Azure AKS Cluster using existing VNET and Subnets
沒有使用 Azure 容器注冊表 (ACR) 使用 ARM 模板創建 Azure AKS 集群的選項
[英]No option to Create Azure AKS cluster with Azure container registry (ACR) using ARM template
無法從連接到 Azure VPN 的本地計算機(在家庭網絡上)訪問專用 AKS 集群
[英]Cannot access Private AKS cluster from Local Machine (on home network) connected to Azure VPN
Azure 專用鏈接到 AKS,專用終結點到另一個 AKS 群集
[英]Azure private link to AKS with private endpoint to another AKS cluster
AKS - 來自服務器的錯誤(禁止):用戶無法在集群范圍內的 API 組“”中創建資源“命名空間”
[英]AKS - Error from server (Forbidden): User cannot create resource "namespaces" in API group "" at the cluster scope
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
無法在 Azure 上創建 AKS 群集
我可以使用 centos 映像創建 Azure aks kubernetes 集群嗎?
嘗試使用 AKS 在 Azure 上創建托管 Kubernetes 集群時出現“不正確的填充”
無法使用現有 VNET 和子網創建 Azure AKS 群集
Azure AKS 群集管理員訪問權限
天青aks無法創建
沒有使用 Azure 容器注冊表 (ACR) 使用 ARM 模板創建 Azure AKS 集群的選項
無法從連接到 Azure VPN 的本地計算機(在家庭網絡上)訪問專用 AKS 集群
Azure 專用鏈接到 AKS,專用終結點到另一個 AKS 群集
AKS - 來自服務器的錯誤(禁止):用戶無法在集群范圍內的 API 組“”中創建資源“命名空間”
相關標簽