Azure 服务连接无法跨多个订阅工作

Question

我最近尝试建立与第二个订阅的服务连接，我让它在第一个订阅上正常工作，并且已经工作了七个月，并且仍在工作。但是当我让服务主体应用程序访问新订阅时，管道失败并说它看不到资源组。这是在 Terraform 初始化步骤中。

我已在订阅级别授予贡献者对服务主体的访问权限，并且出于良好的考虑，我已授予贡献者对其自身实际资源组上的服务主体的访问权限。

这是我得到的错误：

Initializing the backend...

Successfully configured the backend "azurerm"! Terraform will automatically
use this backend unless the backend configuration changes.
╷
│ Error: Failed to get existing workspaces: Error retrieving keys for Storage Account "nsterraformstatestorage": storage.AccountsClient#ListKeys: Failure responding to request: StatusCode=404 -- Original Error: autorest/azure: Service returned an error. Status=404 Code="ResourceGroupNotFound" Message="Resource group 'TerraformBackendForCICTesting' could not be found."
│ 
│ 
╵

##[error]Error: The process '/opt/hostedtoolcache/terraform/1.0.4/x64/terraform' failed with exit code 1

我过去一直关注这个帖子来设置服务连接：https://sabirmohamed.com/how-to-create-a-service-connection-in-the-azure-devops/

我相信两个订阅都在同一个租户中。

我肯定遗漏了一些东西，因为我确信一个服务主体可以跨多个订阅工作。

Answer 1

如果您在订阅范围级别创建服务连接（在链接之后完成），则服务连接将绑定到您在创建时输入的订阅。

如果您改为创建一个包含两个订阅的管理组并使用该管理组作为范围创建服务连接，那么它应该适用于两个订阅。

就我个人而言，我不喜欢为服务主体和服务连接提供过宽的访问权限，因此我通常为每个订阅创建至少一个。

编辑（由于 cmets 格式不佳）

如果任务需要，可以在任务级别设置服务连接：

steps:
  - task: AzureKeyVault@1
    displayName: KeyVault
    inputs:
      azureSubscription: ${{ parameters.serviceConnectionName }}
      KeyVaultName: ${{ parameters.keyVaultName }}

编辑 2：

在 Terraform 任务中，服务连接设置如下：

environmentServiceNameAzureRM: 'YourServiceConnectionName'