客户端对象ID没有权限执行标记流量消费者/验证操作。

Question

客户端对象ID没有权限执行标记流量消费者/验证操作。

azureazure-resource-managerazure-keyvault

3

当我使用 Azure Key Vault 管理 REST API 或命令 Add-AzureRmKeyVaultNetworkRule 允许虚拟网络访问密钥保管库时，我遇到以下错误：

The client '{guid}' with object id '{guid}' does not have authorization to perform
action 'microsoft.network/virtualnetworks/taggedTrafficConsumers/validate/action'
over scope '/subscriptions/{guid}/resourcegroups/{resource-group}/providers/microsoft.network/virtualnetworks/{vnet-name}/taggedTrafficConsumers/Microsoft.KeyVault'

有什么问题吗？

- fernacolo

4个回答

0

在将vnet添加到另一个订阅的存储帐户时，也遇到了此错误。

通过使用门户向订阅添加存储帐户来解决问题。然后可以将vnet添加到存储帐户中。

注意：与@fernacolo使用powershell命令的结果相同。

- gjh71

0

这似乎是Azure门户和Azure CLI中的一个错误/限制。我们在尝试允许X订阅的VNET子网访问Y订阅的存储帐户时遇到了这个问题。

对于我们来说，解决方法是使用目录（而不是订阅）的“概述”选项卡上的“搜索租户”框，在我们的Azure AD目录中查找错误中提到的服务主体的名称。 SP的名称最终是“Storage Resource Provider”（您的可能不同，因此需要在Azure AD中查找），因此我们在其他订阅中临时授予了该SP“所有者”角色。然后，配置就可以正常工作！

您需要授予的权限应该比仅“所有者”更细粒度，但是当我们仅授予“验证”权限时，我们收到了新的错误：

无法保存存储帐户“XXX”的防火墙和虚拟网络设置。错误：当前正在执行需要独占访问的操作。

- GuyPaddock

0

这是解决它所必须的步骤：

https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/resource-providers-and-types#azure-portal

您只需要在订阅中注册资源提供程序，这不仅适用于Key Vault，我的问题也出现在Sql Server上 :)

因此，我在这里留下这个答案，以防其他人需要它

- David Noreña

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- fernacolo · Accepted Answer

您的订阅未授予 Microsoft.KeyVault 资源提供程序访问 Microsoft.Network 资源的权限。解决方法是重新注册您的订阅到 Microsoft.KeyVault：

Register-AzureRmResourceProvider -ProviderNamespace Microsoft.KeyVault

这将添加所需的权限，包括限制对给定虚拟网络访问权限的 Microsoft.KeyVault 和 Microsoft.Network 集成。

更多信息请参见：https://learn.microsoft.com/zh-cn/azure/azure-resource-manager/resource-manager-supported-services。