AuthorizationFailed при запросе статуса журнала потока через Azure Rest API
Я пытаюсь запросить статус журналов потока для NSG на основе документов здесь: https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-nsg-flow-logging-rest
но я получаю это исключение:
{
"error": {
"code": "AuthorizationFailed",
"message": "The client '4eabxxxx-xxxx-4713-8c17-695fd78e7747' with object id '4eabxxxx-xxxx-4713-8c17-695fd78e7747' does not have authorization to perform action 'Microsoft.Network/networkWatchers/queryFlowLogStatus/action' over scope '/subscriptions/fe57c71a-xxxx-xxxx-b007-65ae3645bda1/ResourceGroups/networkwatcherrg/providers/Microsoft.Network/networkWatchers/NetworkWatcher_westcentralus'."
}
}
Мое приложение имеет роль "ЧИТАТЕЛЬ" (также пробовал с ролью "ЧИТАТЕЛЬ МОНИТОРИНГА")
Я также пытался ударить
POST https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Insights/register?api-version=2016-09-01
зарегистрированным Insights.Provider (упомянутым в вышеупомянутых документах), но все та же ошибка.
Какие разрешения требуются для получения статуса журналов потока?
2 ответа
Какие разрешения требуются для получения статуса журналов потока?
Вам необходимо разрешение статуса журнала запросов в Network Watcher.
Это разрешение относится к действиям разрешения участника.
Решение:
Вы можете назначить роль Network Contributor для вашего приложения.
Вы можете создать пользовательскую роль, в которой содержатся разрешения и другие достаточные разрешения. Затем вы можете назначить эту роль для вашего приложения.
Это более старый API, который скоро станет нерекомендуемым. Перейдите на новый API: https://docs.microsoft.com/en-us/rest/api/network-watcher/flowlogs/get
Новый API работает только с разрешением «Microsoft.Network/networkWatchers/flowLogs/read», добавленным в подписку / RG / Resource scope.SG