提问人:jhurtas 提问时间:11/16/2023 更新时间:11/16/2023 访问量:90
是否有权在没有订阅级别角色的情况下将 AKS 附加到 ACR?
Permission to attach AKS to ACR without subscription level role?
问:
我已创建具有特定资源组和所有者参与者角色的用户 角色添加到位于该资源组中的 ACR 和 AKS 群集。
尽管如此,当用户尝试使用此命令将 ACR 附加到群集时 az aks update -n(群集名称)-g(资源组)--attach-acr(ACR 名称)az aks update -n (cluster name) --attach-acr (ACR name)
它返回以下错误: 对象 ID 为 xxxxx 的客户端 [电子邮件保护]“无权对作用域”/subscriptions/xxxx/resourceGroup/xxxxxxx/providers/Microsoft.ContainerService/managedClusters/xxxxxx“执行操作”Microsoft.ContainerService/managedClusters/read“,或者作用域无效。如果最近授予了访问权限,请刷新您的凭据。
我已阅读有关使用户订阅参与者成为参与者的解决方案,但我不希望用户查看特定资源组中未包含的任何内容。
这也令人困惑,因为用户可以在门户中查看 AKS 群集、进行身份验证以及查看和部署群集中的对象。
有什么方法可以做到这一点吗?
答:
0赞
Arko
11/30/2023
#1
此错误消息指示命令中指定的用户或服务主体没有在指定的 AKS 群集上执行操作所需的权限。这可能是由于订阅、资源组或 AKS 群集级别缺少权限。Microsoft.ContainerService/managedClusters/read
您可以通过验证以下几件事来修复它 -
首先,转到在其下创建群集和容器的资源组。例如,假设 jhurtas-rg,在左侧的下方,您会看到IAM
首先检查您已经在 下分配给自己的所有访问权限。通常,是有效的那个。view my accesscontributor access
请注意,这种相同的访问权限应反映在群集和容器中。您可以在每个资源的 IAM 下以与上述相同的方式进行验证。
如果它们都启用了参与者角色,则将 acr 附加到群集不会有问题。如果您根本没有权限,请单击 - > ->添加这个名为 .add rolesrole assignmentaks contributor
请记住,这也必须反映在 acr 和群集中。现在你尝试附加你的acr,你会看到它工作
并且可以拉取存储在 ACR 存储库中的映像
评论