У клиента нет прав на добавление роли с помощью команды создания назначения роли z при запуске в VSTS

Question

Я добавил задачу Azure CLI в конвейер VSTS и выполнил команду 'az role assignment create', чтобы добавить роль.

Команда CLI:

az role assignment create --assignee-object-id d7ad33ae-xxxx-xxxx-xxxx-615f69e01ff3 --role "Storage Blob Data Reader" --scope /subscriptions/4364666b-xxxx-xxxx-xxxx-47158904c439/resourceGroups/devt002RG/providers/Microsoft.Storage/storageAccounts/devt002

Ошибка:

2019-03-29T06:03:39.5026941Z ERROR: The client '82df9caa-xxxx-xxxx-xxxx-12f72e07fe6d' with object id '82df9caa-xxxx-xxxx-xxxx-12f72e07fe6d' does not have authorization to perform action 'Microsoft.Authorization/roleAssignments/write' over scope '/subscriptions/4364666b-xxxx-xxxx-xxxx-47158904c439/resourceGroups/devt002RG/providers/Microsoft.Storage/storageAccounts/devt002/providers/Microsoft.Authorization/roleAssignments/0c838340-xxxx-xxxx-xxxx-ec5190d4ef7a'.
2019-03-29T06:03:41.2266352Z ##[error]Script failed with error: Error: D:\a\_temp\azureclitaskscript1553839394977.bat failed with return code: 1

Примечание : Использование агента Hosted VS2017 и Azure CLI Task version 1.

Он работает нормально из моей локальной командной строки.

Может кто-нибудь объяснить мне изгде этот идентификатор клиента '82df9caa-xxxx-xxxx-xxxx-12f72e07fe6d' появляется в сообщении об ошибке?

Answer 1

Дайте владельцу разрешение на подписку перед запуском задачи CLI в VSTS: назначение роли z создайте --assignee-object-id 82df9caa-xxxx-xxxx-xxxx-12f72e07fe6d --role "owner" --scope / subscriptions / 4364666b-xxxx-xxxx-xxxx-47158904c439

Теперь выполните шаг задачи CLI: назначение роли az создайте --assignee-object-id d7ad33ae-xxxx-xxxx-6xxf-xxxx-615f69e01ff3 --role "Средство чтения данных BLOB-объекта хранилища" --scope /subscription/4364666b-xxxx-xxxx-xxxx-47158904c439/resourceGroups/devt002RG/providers/Microsoft.Storage/storageAccounts/devt002