1

我正在尝试通过 ARM 模板将服务总线接收器角色添加到用户分配的托管标识。

即这个角色。https://docs.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#azure-service-bus-data-receiver

在此处输入图像描述

这是模板

    // User Assigned Managed Identity

    {
        "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
        "apiVersion": "2018-11-30",
        "name": "MyManagedIdentity",
        "location": "[resourceGroup().location]",
    },

    // User Assigned Managed Identity Role

    {
        "type": "Microsoft.Authorization/roleAssignments",
        "apiVersion": "2020-04-01-preview",
        "name": "[guid(resourceGroup().id)]",
        "dependsOn": [
            "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/','MyManagedIdentity')]"
        ],
        "properties": {
            "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/090c5cfd-751d-490a-894a-3ce6f1109419",
            "principalId": "[reference(resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', 'MyManagedIdentity'), '2018-11-30').principalId]",
        }
    },

它返回此错误。

状态消息:不允许更新租户 ID、应用程序 ID、主体 ID 和范围。(代码:RoleAssignmentUpdateNotPermitted)

我不确定出了什么问题。

我看过这个快速入门。 https://docs.microsoft.com/en-us/azure/role-based-access-control/quickstart-role-assignments-template

principalId 应该来自我认为的托管身份。以及来自服务总线角色 id 的 roleDefinitionId。

4

1 回答 1

0

您面临的问题是,当您首次部署 ARM 模板时,最近创建的身份尚未完全复制,因此您可能会注意到列出了安全主体(用户、组、服务主体或托管身份)作为未找到未知类型的身份。

在此处输入图像描述

当您尝试通过重新部署模板来更新相同的角色分配时,它会给您错误“不允许更新租户 ID、应用程序 ID、主体 ID 和范围”,因为具有相同 ID 的角色分配已经存在并且它不允许更新它。

更好的选择是您首先使用单独的模板创建身份,然后创建角色分配。对于Azure Service Bus Data Receiver,模板中的 ID 应该是:

/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0

有关详细信息,请参阅此文档

在此处输入图像描述

于 2021-03-17T05:02:09.280 回答