嘗試使用 Azure DNS 和證書管理器頒發 DNS 證書時出現授權錯誤

Question

我試圖使用 AzureDNS 通過 cert-bot 為我的域生成 DNS 證書，我遵循了 https://cert-manager.io/docs/configuration/acme/dns01/azuredns//#managed-identity-using-aad -pod 身份

我添加了托管身份、聯合身份驗證並驗證了托管身份具有來自 azure 門戶所需的 DNS 區域的 DNS 貢獻者角色，挑戰仍然引發錯誤，指出客戶端沒有添加 TXT 所需的權限記錄：

Status=403 Code="AuthorizationFailed" Message="The client '<principal_id>' with object id '<principal_id>' does not have authorization to perform action 'Microsoft.Network/dnsZones/TXT/write' over scope '/subscriptions/<sub_id>/resourceGroups/<resource_group>/providers/Microsoft.Network/dnsZones/<dns_zone>/TXT/_acme-challenge' or the scope is invalid. If access was recently granted, please refresh your credentials.

我們如何刷新憑據？ 我嘗試通過使用kubectl刪除它們來重新創建發行者、挑戰等

編輯：添加了更多詳細信息 PS：我確實分配了所需的 roal 並添加了指向cert-manager使用的服務帳戶和命名空間的聯合憑證。

Answer 1

如錯誤所述，此問題是由“訪問問題”引起的。
“具有 object ID ‘principal_id>’的客戶端‘principal_id>’無權執行操作‘Microsoft.Network/dnsZones/TXT/write’。” 我們可以驗證是否在門戶上正確分配了相應的角色。

第 1步：轉到訂閱 -> 訪問控制 (IAM) -> 角色分配 -> 使用 ID 搜索。 第 2 步：查看是否分配了各自的角色“DNS 貢獻者”。 如果沒有，請分配並重試一次。

通過cli參考這個。 和授權失敗教程以獲取更多詳細信息。

我們如何刷新憑據？ 通常，刷新意味着我們可以使用之前在同一 CLI 上使用的相同憑據重新登錄 Azure 門戶。

az login 

請做幾次驗證一次：

1. 驗證部署到新集群的應用程序工作負載並與其交互，就像您使用基於服務主體的 AKS 所做的那樣

   az aks create -g myResourceGroup -n myManagedCluster --enable-managed-identity

2. 驗證控制平面身份的主體 ID

   az 身份顯示 --ids

參考本教程