[英]Authorization error while trying to issue DNS certificate with Azure DNS and cert manager
我試圖使用 AzureDNS 通過 cert-bot 為我的域生成 DNS 證書,我遵循了 https://cert-manager.io/docs/configuration/acme/dns01/azuredns//#managed-identity-using-aad -pod 身份
我添加了托管身份、聯合身份驗證並驗證了托管身份具有來自 azure 門戶所需的 DNS 區域的 DNS 貢獻者角色,挑戰仍然引發錯誤,指出客戶端沒有添加 TXT 所需的權限記錄:
Status=403 Code="AuthorizationFailed" Message="The client '<principal_id>' with object id '<principal_id>' does not have authorization to perform action 'Microsoft.Network/dnsZones/TXT/write' over scope '/subscriptions/<sub_id>/resourceGroups/<resource_group>/providers/Microsoft.Network/dnsZones/<dns_zone>/TXT/_acme-challenge' or the scope is invalid. If access was recently granted, please refresh your credentials.
我們如何刷新憑據? 我嘗試通過使用kubectl
刪除它們來重新創建發行者、挑戰等
編輯:添加了更多詳細信息 PS:我確實分配了所需的 roal 並添加了指向cert-manager
使用的服務帳戶和命名空間的聯合憑證。
如錯誤所述,此問題是由“訪問問題”引起的。
“具有 object ID ‘principal_id>’的客戶端‘principal_id>’無權執行操作‘Microsoft.Network/dnsZones/TXT/write’。” 我們可以驗證是否在門戶上正確分配了相應的角色。
第 1步:轉到訂閱 -> 訪問控制 (IAM) -> 角色分配 -> 使用 ID 搜索。 第 2 步:查看是否分配了各自的角色“DNS 貢獻者”。 如果沒有,請分配並重試一次。
我們如何刷新憑據? 通常,刷新意味着我們可以使用之前在同一 CLI 上使用的相同憑據重新登錄 Azure 門戶。
az login
請做幾次驗證一次:
驗證部署到新集群的應用程序工作負載並與其交互,就像您使用基於服務主體的 AKS 所做的那樣
az aks create -g myResourceGroup -n myManagedCluster --enable-managed-identity
驗證控制平面身份的主體 ID
az 身份顯示 --ids
參考本教程
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.