В Azure в качестве участника группы ресурсов почему я не могу создать учетные записи хранения и что нужно сделать, чтобы предотвратить эту ситуацию?

Question

В Azure в качестве участника группы ресурсов почему я не могу создать учетные записи хранения и что нужно сделать, чтобы предотвратить эту ситуацию?

Администратор подписки на клиенте предоставил мне (учетную запись MS) роль участника в одной из их групп ресурсов.

Когда я пытаюсь создать учетную запись хранения в этой группе ресурсов, я получаю ошибку, которая:

AuthorizationFailed не имеет полномочий для выполнения действия "Microsoft.Storage/register/action" над областью действия.

Я вошел в подписку через Powershell и перечислил доступных поставщиков, и обнаружил, что большинство из них не зарегистрированы. Когда я пытаюсь зарегистрироваться, я получаю эту ошибку.

Почему они не зарегистрированы? Что должен сделать админ, чтобы исправить это? Что нужно сделать в будущем, чтобы избежать этой проблемы при добавлении участников? Прямо сейчас, как участник в этой RG, я не могу сделать очень много.

5

azure azure-resource-manager

Источник

user442396 04 май '16 в 09:12

1 ответ

Решение

Другие вопросы по тегам azure azure-resource-manager

user188096 04 май '16 в 09:22 2016-05-04 09:22 · Accepted Answer · 2016-05-04 09:22

Я вошел в подписку через Powershell и перечислил доступных поставщиков, и обнаружил, что большинство из них не зарегистрированы. Когда я пытаюсь зарегистрироваться, я получаю эту ошибку.

Причина, по которой вы получаете эту ошибку, заключается в том, что администратор подписки поместил вас в Contributor роль в определенной группе ресурсов. Они не дали вам никакого разрешения на Microsoft.Storage поставщик ресурсов. Для того чтобы зарегистрировать подписку на этом ресурсе, вам потребуется Write разрешение на Microsoft.Storage поставщик ресурсов.

Вы можете либо попросить своего администратора подписки предоставить вам соответствующие разрешения, либо они могут зарегистрировать подписку у этого поставщика ресурсов.

ОБНОВЛЕНИЕ - Последующие вопросы

Насколько я понимаю, роль Contributor просто позволяла указанному пользователю создавать ресурсы в группе.

Ваше понимание верно. С Contributor роль в группе ресурсов, вы должны иметь возможность создавать ресурсы там.

В какой-то момент этого назначения роли администратор подписки указывает, какие ресурсы можно создавать, а какие нет? Или это как-то ограничивает то, как настроена подписка?

Ну да и нет. Так что если вам назначена какая-то общая роль, как Contributor Вы должны быть в состоянии создать любые виды ресурсов. Однако с Custom Roles, администратор может стать супер креативным и разрешить вам только создавать ресурсы определенного вида. Однако подписка должна быть зарегистрирована у поставщика ресурсов, прежде чем можно будет создать такой ресурс.

Я понимаю, что вся эта структура структурирована так, что каждая группа разработчиков продукта в Azure отвечает за предоставление своих собственных функций. Центральная точка во всем этом Azure Resource Manager который обеспечивает среди прочего Role-based Access Control,

Давайте возьмем хранилище Azure для примера. Функциональность взаимодействия с учетными записями хранилища (с точки зрения управления, такими как создание, удаление и т. Д.) Предоставляется группой хранения с использованием так называемой Storage Resource Provider (SRP), Так что, если вы присмотритесь, есть поставщик ресурсов для каждой функции. По неизвестным мне причинам не все поставщики ресурсов доступны для вас по умолчанию (это может быть причиной затрат), и администратор подписки должен зарегистрировать свою подписку у этого поставщика ресурсов, чтобы в этой подписке могли быть созданы ресурсы такого рода.