Отказано в разрешении для учетных данных Ansible Azure

Я пытаюсь начать работу с Ansible для Azure. Почему-то я не могу правильно настроить учетные данные.

У меня одно приложение. разовая подписка. Таким образом, нет возможности перепутать секреты, client_id, tenant_id, subscription_id. Приложению также предоставляются разрешения: user_impersonation и User.Read. И я все настраиваю как админ.

Я пытаюсь запустить простую книгу для создания группы. Тем не менее, я продолжаю получать это сообщение об ошибке:

fatal: [localhost]: FAILED! => {"changed": false, "msg": 
       "Error checking for existence of name rg-cs-ansible - 403 Client Error: 
        Forbidden for url: https://management.azure.com/subscriptions/81616dde
        -4cf4-43b8-b29f-XXXXXXXXX/resourcegroups/rg-cs-ansible?api-version=2017-05-10"}

Сценарий следующий:

---
- hosts: localhost
  connection: local
  tasks:
    - name: Create resource group
      azure_rm_resourcegroup:
         name: rg-cs-ansible
         location: eastus
      register: rg
    - debug:
        var: rg

Что мне не хватает на этой картинке?


azure ansible ansible-inventory
person Billy Billy    schedule 07.04.2020    source источник
comment
Предоставляли ли вы доступ к приложению Azure RBAC? Вы можете сделать это через вкладку Контроль доступа (IAM) в подгруппе / группе ресурсов / ресурсе.   -  person juunas    schedule 07.04.2020
comment
@junnas. В этой статье я прочитал, что мне нужно настроить материал IAM: medium.com/@pavithra_38952/. Но когда я перехожу к контролю доступа (IAM), я не вижу приложение как субъект, которому я могу назначить доступ. Мысли?   -  person Billy Billy    schedule 07.04.2020
comment
Да, вот в чем проблема. Моя проблема заключалась в том, что для назначения IAM мне нужно было ввести имя. Я ожидал, что Azure предоставит раскрывающийся список, в котором я могу их выбрать.   -  person Billy Billy    schedule 07.04.2020

Ответы (1)


arrow_upward
1
arrow_downward

Вам необходимо предоставить приложению доступ к Azure RBAC. Вы можете сделать это через вкладку Контроль доступа (IAM) в подгруппе / группе ресурсов / ресурсе. Начните вводить имя приложения в поле, где вы выбираете пользователя / группу / приложение, и оно должно появиться в списке. Затем вы можете выбрать, какую роль дать.

person juunas    schedule 07.04.2020