Чем отличается RBAC для виртуальных машин от наборов масштабов виртуальных машин?

Question

У меня есть пользовательская роль, которая позволяет создавать виртуальную машину в определенной виртуальной сети и ее подсети.Я могу развернуть одну виртуальную машину в этой подсети без проблем.Однако, когда я пытаюсь развернуть набор масштаба в той же подсети, я сталкиваюсь со следующей ошибкой:

Missing write permissions {'Microsoft.Network/VirtualNetworks/subnets/write'} for the following subnet(s):'MySubnet'

Роль, предоставляющая доступ к виртуальной сети, имеет Join Virtual Network.Почему это разрешение разрешает развертывание виртуальной машины, а не развертывание масштабного набора?Есть ли разница в RBAC между развертыванием VM и набором масштабов VM?

Edit : добавлены определения ролей

В виртуальной сети есть RBAC с пользовательской ролью участника сети, предоставляющейследующий

"permissions": [
      {
        "actions": [
          "Microsoft.Network/publicIPAddresses/join/action",
          "Microsoft.Network/virtualNetworks/subnets/join/action",
          "Microsoft.Network/virtualNetworks/subnets/write",
          "Microsoft.Network/virtualNetworks/*/join/action",
          "Microsoft.Network/networkSecurityGroups/write",
          "Microsoft.Network/networkSecurityGroups/securityRules/write",
          "Microsoft.Network/networkSecurityGroups/securityRules/delete"
        ],
        "dataActions": [],
        "notActions": [],
        "notDataActions": []
      }
    ]

RBAC в группе ресурсов предоставляет следующий

"permissions": [
      {
        "actions": [
          "*",
          "Microsoft.Compute/virtualMachines/*",
          "Microsoft.Compute/virtualMachineScaleSets/*"
        ],
        "dataActions": [],
        "notActions": [
          "Microsoft.Authorization/*/Delete",
          "Microsoft.Authorization/*/Write",
          "Microsoft.Authorization/elevateAccess/Action",
          "Microsoft.Network/dnsZones/write",
          "Microsoft.Network/dnsZones/delete",
          "Microsoft.Network/dnsZones/*/write",
          "Microsoft.Network/dnsZones/*/delete",
          "Microsoft.Network/virtualNetworks/write",
          "Microsoft.Network/virtualNetworks/delete",
          "Microsoft.Network/virtualNetworks/peer/action",
          "Microsoft.Resources/subscriptions/resourceGroups/write",
          "Microsoft.Resources/subscriptions/resourceGroups/delete"
        ],
        "notDataActions": []
      }
    ]

Answer 1

Наборы масштабов построены из виртуальных машин. С набором весов уровни управления и автоматизации предоставляются для запуска и масштабирования приложения.

Таким образом, в RBAC нет никакой разницы между развертыванием виртуальной машины и масштабного набора виртуальной машины. И результат теста здесь:

В соответствии с ОШИБКОЙ, которую вы опубликовали, разрешение на запись в подсети отсутствует. Я думаю, что вы должны проверить учетную запись, которую вы использовали. Если вы используете RBAC для Vnet, разрешение Contributor необходимо как минимум.

Более подробную информацию о различиях между виртуальными машинами и наборами масштабов можно получить по этой ссылке .