我有一个从Octopus运行的Powershell脚本,该脚本遇到了一些问题。我不是脚本的作者。
New-AzureRMResourceGroupDeployment -ResourceGroupName "OurRG" -Verbose -TemplateFile "ase-certupdate.json" -keyvaultID "/subscriptions/2345-abcdefg/resourceGroups/ourtestlab/providers/Microsoft.KeyVault/vaults/mykeyvault" -certificateThumbprint "ourthumbprint"
“消息”:“该服务无权访问'/subscriptions/12345-abcdefg/resourcegroups/ourtestlab/providers/microsoft.keyvault/vaults/mykeyvault'密钥保管库。请确保您已授予以下权限:服务执行请求操作。“
我混淆了订阅和其他信息。
我有一个与Octopus相关的服务负责人,我确信设置正确。它具有对密钥库的所有访问权限。我制定了访问策略,并授予了对密钥库的所有权限。它可以获取,创建等等。
服务主体在订阅级别被授予贡献者权限。我的Powershell脚本读取了一些变量,并针对vnet,订阅名称等进行了测试。它毫无问题地通过了这些部分,因此,我很确定它可以完成应有的一切。
我已经从订阅中删除了服务主体并读取了它。我已经成为它的所有者。我已经删除了对KeyVault的访问策略,并对其进行了读取。我什至创建了一个新的SP。同样的问题。
使用服务主体部署ARM模板似乎在我似乎找不到的某个地方可能需要另一个权限。