Какие роли выполняет сервис. Принципиально необходимо создать AKS из AZ CLI.

Question

Здравствуйте, я пытаюсь создать AKS в своем CI, но я борюсь с необходимыми привилегиями.

Я использую логин участника службы, создаю группу ресурсов и затем пытаюсь создать aks.

- az login --service-principal -u ${AZ_PRINC_USER} -p ${AZ_PRINC_PASSWORD} --tenant ${AZ_PRINC_TENANT}
- az group create --name ${AZ_RESOURCE_GROUP} --location ${AZ_RESOURCE_LOCATION}
- az aks create --name ${AZ_AKS_TEST_CLUSTER} --resource-group ${AZ_RESOURCE_GROUP} --node-count ${AZ_AKS_TEST_NODECOUNT} --generate-ssh-keys

Однако при выполнении сбрасывается ошибка:

ОШИБКА: разрешение на каталог необходимо для текущего пользователя, чтобы зарегистрировать приложение. Чтобы узнать, как настроить, обратитесь к 'https://docs.microsoft.com/azure/azure-resource-manager/resource-group-create-service-principal-portal'. Исходная ошибка: недостаточно прав для завершения операции.

Есть идеи, какие привилегии необходимы? Кажется, должно быть разрешение Справочника ... но я не могу найти и назначить его.

Answer 1

вам необходимо предоставить ему разрешения на создание приложений в Azure AD (если вы не создали их заранее). вам также нужно дать ему разрешения на создание AKS (Microsoft.ContainerService/managedClusters/write), и вам нужно дать ему разрешения на назначение ролей (Microsoft.Authorization/roleAssignments/write), если вы хотите выполнить развертывание в существующей подсети. это был бы минимум, полученный логически, но я никогда не пробовал. Вы не сможете сделать это только с этими разрешениями

, возможно, вам также понадобятся некоторые Microsoft.Network разрешения