c# 代码的 Azure AD 授权问题

Question

我想通过 C# 代码创建 Azure 资源组。

我已按照此链接创建服务主体的所有步骤进行操作，但仍然出现错误

我正在关注这些链接

https://docs.microsoft.com/en-us/azure/virtual-machines/windows/csharp https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-create-service-principal-portal

下面是错误

发生 Microsoft.Rest.Azure.CloudException H结果=0x80131500 消息=对象 ID 为“XXXXXXXXXXXX”的客户端“XXXXXXXXXXXXXXX”无权在范围“/subscriptions/XXXXXXXXXX/resourcegroups/Zimmergren.ARM.ResourceGroupDemo-123”上执行操作“Microsoft.Resources/subscriptions/resourcegroups/write”。 源=Microsoft.Azure.Management.ResourceManager 堆栈跟踪： 在 Microsoft.Azure.Management.ResourceManager.ResourceGroupsOperations.d__7.MoveNext() 在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess（任务任务） 在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification（任务任务） 在 Microsoft.Azure.Management.ResourceManager.ResourceGroupsOperationsExtensions.d__5.MoveNext() 在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess（任务任务） 在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification（任务任务） 在 Microsoft.Azure.Management.ResourceManager.ResourceGroupsOperationsExtensions.CreateOrUpdate（IResourceGroupsOperations 操作，字符串 resourceGroupName，ResourceGroup 参数） 在 C:\Users\nitin\Downloads\AzureAD\AzureAD\AzureAD\Program.cs:line 48 中的 AzureAD.Program.Main(String[] args) 处

Answer 1

Message=对象 id 为 'XXXXXXXXXXXX' 的客户端 'XXXXXXXXXXXXXXX' 无权执行操作 'Microsoft.Resources/subscriptions/resourcegroups/write' 超出范围 '/subscriptions/XXXXXXXXXX/resourcegroups/Zimmergren.ARM.ResourceGroupDemo-123'.

您收到此错误的原因是您创建的 Service Pricipal 无权在您的 Azure 订阅中执行 Create Resource Group 操作。

您需要做的是为该Service Principal 分配一个角色，该角色有权执行此操作。首先，您可以将Subscription 级别的Contributor 角色分配给此Service Principal。

您可以通过Azure Portal、PowerShell Cmdlets 或CLI Tools 进行操作。您可能会发现此链接有助于通过 Azure 门户执行此操作：https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-create-service-principal-portal#assign-application-to-role。