我试图将Azure CDN添加为服务帐户,以便将其连接到KeyVault。
遵循官方指南和其他建议,例如Can't add Microsoft.Azure.Cdn service principal to Key Vault access policies
但是此命令:
New-AzureRmADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"
给我这个错误:
New-AzureRmADServicePrincipal:使用此权限时,正在创建的服务主体的支持应用程序必须在本地租户中。
即使在我使用Set-AzureRmContext -TenantId xxx将上下文设置为正确的租户之后。
任何帮助表示赞赏!
答案 0 :(得分:1)
错误
如果您在AAD中没有足够的权限来为不同租户中定义的应用程序添加服务主体,则会报告使用此权限时,正在创建的服务主体的支持应用程序必须在本地租户中。
。这是例如普通用户,没有任何特定的Azure Active Directory角色。使用全局管理员或应用程序管理员(或可能的其他角色),命令将成功执行(请注意,这些是AAD Administrative Roles,而不是RBAC roles,它们是用于资源的)。
az cli调用创建主体可以报告相同的错误:
az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8