如何解决使用 Azure PowerShell 将 Key Vault 机密分配给 Azure 函数
我正在尝试通过从 Azure DevOps 发布管道触发的 Azure PowerShell 脚本自动创建某些 Azure 资源。我想创建一个函数应用程序,并自动集成对现有 Key Vault 中的机密的读取权限。此 Key Vault 在同一个 Azure 订阅中。
虽然我可以按照文档创建大多数资源,但似乎缺少有关使用 Azure PowerShell 创建某些资源的文档(或者我找不到)。
如果我遵循此 link 中的示例,我可以通过使用 Azure 门户中的 UI 毫无问题地完成它,但是我找不到任何关于 Microsoft Docs 的文档来使用PowerShell。
Write-Host "Creating Function App..."
$fnApp = New-AzFunctionApp -Name $functionAppName `
-ResourceGroupName $emailFunctionRg `
-Location "$(AzureRegion)" `
-StorageAccount $storageName `
-Runtime dotnet `
-Functionsversion '3' `
-IdentityType SystemAssigned
Write-Host "Function App created!"
Write-Host "Assigning Key Vault access..."
$appId = Get-AzADServicePrincipal -displayName $functionAppName
Set-AzkeyvaultAccesspolicy -VaultName EmailSettings -ServicePrincipalName $appId -PermissionsToSecrets Get,List
Write-Host "Key Vault access granted!"
运行 Set-AzkeyvaultAccesspolicy
失败,“权限不足,无法完成操作。”。但我不确定这是否是正确的路径,这只是一个猜测,基于文档中的可用功能。
有什么想法吗?
解决方法
此处需要检查的两个潜在问题:
- 您的应用创建将结果分配给 $fnApp。可能是
$fnApp
或如上文所述,$fnApp.ApplicationId
是您应该在访问策略授予的-ServicePrincipalName
参数中使用的参数。 - 您无权分配 RBAC 角色。转到 Key Vault,选择
Access Control
,然后单击“角色分配”选项卡并验证您的用户是否以管理员、用户访问管理员或所有者的身份出现在列表中。
编辑:关于 RBAC 权限,由于它在 Azure DevOps 的 Azure Powershell 中运行,您需要检查服务连接的服务主体的角色分配 - 在 Azure Active Directory 下Azure 门户,查找用于创建服务连接的主体,并确保其在密钥保管库中获得正确的角色。
,经过一些反复试验后,我得出的结论是我没有为 Set-AzKeyVaultAccessPolicy cmdlet 使用正确的参数。
以下脚本将起作用(如果运行它的服务原则具有适当的角色,例如他/她的回答中提到的 WaitingForGuacamole):
Write-Host "Creating Function App..."
$fnApp = New-AzFunctionApp -Name <FnAppName> `
-ResourceGroupName <ResourceGroupName> `
-Location <AzureRegion> `
-StorageAccount <StorageAccount> `
-Runtime dotnet `
-FunctionsVersion '3' `
-IdentityType SystemAssigned
Write-Host "Function App created!"
Write-Host "Assigning Key Vault access..."
Set-AzKeyVaultAccessPolicy -VaultName <NameOfTheKeyVault> -ObjectId (Get-AzADServicePrincipal -DisplayName <FnAppName>).Id -PermissionsToSecrets <Get,List,etc...>
Write-Host "Key Vault access granted!"
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。