我尝试使用子级别所有者的服务主体将 AD 组作为贡献者分配给我的存储帐户,并将存储 blob 数据贡献者分配给该帐户。
param storageAccountName string
param roleId array
param adGroup string
param principalType string = 'Group'
// reference to storage account
resource storageAccount 'Microsoft.Storage/storageAccounts@2023-01-01' existing = {
name: storageAccountName
}
resource roleAssignment1 'Microsoft.Authorization/roleAssignments@2022-04-01' = [for roleId in roleId: {
name: guid(subscription().subscriptionId, resourceGroup().name, storageAccountName, roleId, adGroup)
scope: storageAccount
properties: {
roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', roleId)
principalId: adGroup
principalType: principalType
}
}
]
我收到这个错误
code":"GroupTypeNotSupported","message":"Only security-enabled groups can be used in role assignments."}
Security仅可分配类型为 MS Entra 的组。您可以在 MS Entra 中检查组类型。更新组类型后,它应该可以正常工作。
注意:如果您已经手动创建了角色分配,则会分配一个随机 guid,因此在运行 bicep 文件时,它将尝试创建一个具有不同名称的新角色分配 (
guid(subscription().subscriptionId, resourceGroup().name, storageAccountName, roleId, adGroup)。首先删除现有角色分配,然后使用 bicep 再次创建它。