Идентификатор назначенной пользователем управляемой службы Azure не работает в виртуальной машине Azure

Question

У меня есть виртуальная машина в наборе масштабов, к которой прикреплен назначенный пользователем MSI.Этот MSI имеет доступ на чтение к определенному хранилищу ключей, настроенному на вкладке политики доступа.

Из виртуальной машины мне нужно получить доступ к хранилищу ключей.az CLI установлен на виртуальной машине.При попытке войти в систему я получаю следующую ошибку:

> az login --identity -u /subscriptions/subscriptionId/resourcegroups/group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/name       
No access was configured for the VM, hence no subscriptions were found

Когда я вхожу в систему в интерактивном режиме с помощью az login и ввожу отображаемый код в https://microsoft.com/devicelogin, он прекрасно работает ...

Однако смысл использования MSI - заставить его работать без взаимодействия ...

У кого-то еще была эта проблема?

Answer 1

Az login - удостоверение для доступа к Azure Resource Manager.Это позволяет выполнять операции плоскости управления / управления через хранилище ключей.Это эквивалентно получению токена для https://management.azure.com/

Политики доступа к Key Vault обеспечивают доступ плоскости данных к Vault.Для этого вам понадобится токен для https://vault.azure.net

. Ознакомьтесь со следующими руководствами:

Linux: https://docs.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/tutorial-linux-vm-access-nonaad

Windows: https://docs.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/tutorial-windows-vm-access-nonaad