0

我有以下情况。
我的应用程序注册定义了一组应用程序角色
我通过 ARM 模板动态部署具有系统分配托管标识的规模集
在部署期间,我想将该标识分配给上面定义的特定应用程序角色之一

我使用以下资源更新我的部署模板

   {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2017-09-01",
            "name": "<random Guid>",
            "dependsOn": [
                "[concat('Microsoft.Compute/virtualMachineScaleSets/', '<scaleset name>')]"
            ],
            "properties": {
                
                "roleDefinitionId": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '<app role guid>')]",
                "principalId": "[reference(resourceId('Microsoft.Compute/virtualMachineScaleSets', '<scaleset name>'), '2019-07-01', 'Full').Identity.principalId]",
                "scope": "[resourceGroup().id]"
            }
}

但是部署失败,出现以下异常

The specified role definition with ID '<app role guid>' does not exist.

我的假设是应用程序角色定义 ID 的格式不正确,但我在 ARM 模板中找不到任何此类应用程序分配的示例。

这甚至可能吗?

4

1 回答 1

3

这是您如何执行此操作的示例 https://docs.microsoft.com/en-us/azure/role-based-access-control/role-assignments-template#new-service-principal

您将需要添加 Serviceprincipal 的 principalType,这是因为根据文档,创建新的 serviceprincipal 时很容易出现延迟,因此如果您不这样做,它将失败。

编辑:对不起,我没有意识到您正在尝试进行应用角色分配。我不相信这在 arm 模板中当前受支持。您可以使用 roleassignment 分配的 rbac 角色不是应用程序角色。例如。您目前无法在 arm 模板中为 azure 内置角色分配应用程序角色,用于 azure 资源,而不是应用程序或 azure 广告角色。供参考https://github.com/MicrosoftDocs/azure-docs/issues/51914#issuecomment-612867662

如果可能的话,您可能能够解决并执行此类操作的唯一方法可能是通过在 arm 模板中运行 powershell 命令的部署脚本。

于 2020-07-25T00:42:04.850 回答