Вероятная причина этого в том, что ваш субъект кластерной службы не имеет роли Managed Identity Operator
.
Вы можете проверить журналы службы mic
и найти следующий фрагмент журнала "not иметь разрешение на выполнение действия Microsoft.ManagedIdentity / userAssignedIdentities / assign / action '"
Вы можете назначить роль субъекту службы, используя следующие команды интерфейса командной строки:
# retrieve cluster service principal clientId ($SP_CLIENT_ID below)
az aks show -g $RESOURCE_GROUP -n $AKS_CLUSTER_NAME --query servicePrincipalProfile.clientId -o tsv
# assign role to SP
az role assignment create --role "Managed Identity Operator" --assignee $SP_CLIENT_ID --scope /subscriptions/$SUBSCRIPTION_ID/resourcegroups/$RESOURCE_GROUP
ref: https://github.com/Azure/aad-pod-identity/issues/585