我在我的雇主的 Azure 订阅中被分配了一个所有者角色。他能够创建资源组,但我不能。我们都想知道为什么我已经被分配为所有者,除了订阅级别之外的最高角色。
当我尝试该az group create --name myGroup -l southeastasia命令时,它的响应是
The client 'live.com#<myAccount>@outlook.com' with object id '<object ID>'
does not have authorization to perform action 'Microsoft.Resources/subscriptions/
resourcegroups/write' over scope '/subscriptions/<subscription>/resourcegroups/<myGroup>'.
编辑:我没有订阅级别的资源
您的租户中有多个订阅吗?如果是,你应该设置它。
##list subscription
az account list --output table
##change the active subscription
az account set --subscription "My Demos"
如果你只有订阅,我建议你可以创建一个 sp,然后使用 sp 创建一个新的资源组。请参阅此链接。
更新:
您应该Owner在订阅级别赋予角色,根据您的屏幕截图,您Owner在资源组角色上赋予角色,您只在资源组中创建资源。您也无法创建新的资源组。您应该Owner为您的订阅赋予角色,如下所示:
注意:此问题更有可能发生在较新的订阅中,并且通常发生在之前从未在该订阅中创建过某种资源类型的情况下。
订阅管理员通常通过在订阅级别授予资源组所有者贡献者权限来解决此问题,这与他们将访问隔离到资源组级别而不是订阅级别的策略相矛盾。
有关根本原因和快速解决方案,请参阅“使用 Azure 资源组和 RBAC 时的常见问题”。
好吧,错误清楚地表明您对范围没有权利,因此您要么是错误子的所有者,要么您有一个专门限制它的角色。