Estou tentando atribuir o grupo do AD à minha conta de armazenamento como colaborador e também colaborador de dados de blob de armazenamento usando o principal do serviço que é o proprietário no subnível.
param storageAccountName string
param roleId array
param adGroup string
param principalType string = 'Group'
// reference to storage account
resource storageAccount 'Microsoft.Storage/storageAccounts@2023-01-01' existing = {
name: storageAccountName
}
resource roleAssignment1 'Microsoft.Authorization/roleAssignments@2022-04-01' = [for roleId in roleId: {
name: guid(subscription().subscriptionId, resourceGroup().name, storageAccountName, roleId, adGroup)
scope: storageAccount
properties: {
roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', roleId)
principalId: adGroup
principalType: principalType
}
}
]
Eu recebo esse erro
code":"GroupTypeNotSupported","message":"Only security-enabled groups can be used in role assignments."}
Somente o grupo MS Entra do Tipo
Securitypode ser atribuído. Você pode verificar o tipo de grupo no MS Entra.Depois que você tiver atualizado o tipo de grupo, ele deve funcionar.
Observação : se você criou manualmente a atribuição de função, um guid aleatório foi atribuído, portanto, ao executar seu arquivo bicep, ele tentará criar uma nova atribuição de função com um nome diferente (
guid(subscription().subscriptionId, resourceGroup().name, storageAccountName, roleId, adGroup). Exclua a atribuição de função existente primeiro e crie-a novamente usando o bicep.