我正在尝试在天蓝色(RBAC)中创建Custom Role。但是当我执行powershell命令New-AzureRmRoleDefinition时,我收到的消息是说我无权创建它。
> New-AzureRmRoleDefinition .\developer_access_rbac.json
New-AzureRmRoleDefinition : AuthorizationFailed: The client 'admin@company.com' with object id
'{guid}' does not have authorization to perform action
'Microsoft.Authorization/roleDefinitions/write' over scope
'/providers/Microsoft.Authorization/roleDefinitions/{guid}'.
At line:1 char:1
+ New-AzureRmRoleDefinition .\developer_access_rbac.json
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], CloudException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand
我向我们组织的一位管理员询问,他说帐户admin@company.com已经是全球管理员。在活动目录admin@company.com中显示为服务管理员。
我对azure中的这些权限级别感到有些困惑。任何人都可以向我解释如何获得帐户admin@company.com所需的权限以解决问题。
答案 0 :(得分:2)
谁可以创建自定义角色?订阅者,资源组和资源的所有者(和用户访问管理员)可以创建自定义角色以在这些范围中使用。创建角色的用户需要能够对角色的所有AssignableScope执行Microsoft.Authorization / roleDefinition / write操作。
谁可以修改自定义角色?订阅者,资源组和资源的所有者(和用户访问管理员)可以修改这些范围中的自定义角色。用户需要能够对自定义角色的所有AssignableScope执行Microsoft.Authorization / roleDefinition / write操作。
谁可以查看自定义角色? Azure RBAC中的所有内置角色都允许查看可用于分配的角色。可以在作用域中执行Microsoft.Authorization / roleDefinition / read操作的用户可以查看可在该作用域中分配的RBAC角色。
答案 1 :(得分:0)
我实际上遇到了同样的问题,并发现该错误具有误导性。
我必须清除可分配的范围,然后再添加一个。
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/12345678912345789123456789")