具有对象 id 的客户端无权执行操作 taggedTrafficConsumers/validate答案

【问题标题】：The client with object id does not have authorization to perform action taggedTrafficConsumers/validate具有对象 id 的客户端无权执行操作 taggedTrafficConsumers/validate
【发布时间】：2019-01-12 00:44:15
【问题描述】：

当使用 Azure Key Vault 管理 REST API 或 cmdlet Add-AzureRmKeyVaultNetworkRule 允许虚拟网络访问密钥保管库时，我收到以下错误：

The client '{guid}' with object id '{guid}' does not have authorization to perform
action 'microsoft.network/virtualnetworks/taggedTrafficConsumers/validate/action'
over scope '/subscriptions/{guid}/resourcegroups/{resource-group}/providers/microsoft.network/virtualnetworks/{vnet-name}/taggedTrafficConsumers/Microsoft.KeyVault'

怎么了？

【问题讨论】：

标签： azure azure-resource-manager azure-keyvault

【解决方案1】：

您的订阅未授予 Microsoft.KeyVault 资源提供者访问 Microsoft.Network 资源的权限。解决方法是再次注册Microsoft.KeyVault 订阅：

Register-AzureRmResourceProvider -ProviderNamespace Microsoft.KeyVault

这将为Microsoft.KeyVault 和Microsoft.Network 集成添加所需的权限，包括限制对给定虚拟网络的访问权限。

【讨论】：

请注意，这是您需要注册/重新注册“Microsoft.KeyVault”资源提供程序的 vnet 订阅。

【解决方案2】：

这是解决它所需的步骤：

https://docs.microsoft.com/en-us/azure/azure-resource-manager/management/resource-providers-and-types#azure-portal

您只需要在订阅中注册资源提供程序，这不仅发生在 Key Vault 上，我的问题也发生在 Sql Server 上：)

所以我把这个答案留在这里以防其他人需要它

【讨论】：

【解决方案3】：

这感觉像是 Azure 门户和 Azure CLI 中的错误/限制。我们在尝试允许订阅 X 中的 VNET 的子网访问订阅 Y 中的存储帐户时遇到了这个问题。

对我们来说，解决方法是使用目录“概览”选项卡上的“搜索您的租户”框（不是订阅，但租户的 Azure AD 目录）。 SP 的名称原来是“存储资源提供者”（您的名称可能不同，因此您需要在 Azure AD 中查找它），因此我们在其他订阅中授予该 SP“所有者”角色（临时） .然后配置工作！

除了“所有者”之外，您还需要授予一组更细粒度的权限，但是当我们仅授予“验证”权限时，我们遇到了一个新错误：

未能保存存储帐户“XXX”的防火墙和虚拟网络设置。错误：当前正在此存储帐户上执行需要独占访问权限的操作。

【讨论】：