无法以编程方式获取Azure存储帐户的密钥

Question

我正在尝试获取我订阅的所有存储帐户的密钥。但是我在一个存储帐户上使用Azure获得了这个异常。

com.microsoft.azure.CloudException:状态代码403，{“错误”：{“代码”：“AuthorizationFailed”，“消息”：“客户端‘5c79ee27-#91f8e3’与对象id‘5c79ee27#91f8e3’‘没有授权在作用域'/subscriptions/758ad253-#######f07/resourceGroups/spcwestus/providers/Microsoft.Storage/storageAccounts/grsstorag'."}}：上执行’/subscriptions/758ad253-#######f07/resourceGroups/spcwestus/providers/Microsoft.Storage/storageAccounts/grsstorag‘.”}}：的操作-##91f8e3‘与对象id’5c79ee27-#91f8e3‘没有授权在作用域'Microsoft.Storage/storageAccounts/listKeys/action’上执行操作

对于大多数存储帐户，我设法得到了密钥。但对其中一些人来说，同样的错误会被重复。这是什么意思？

Answer 1

从您遇到的错误来看，服务器响应您的请求时使用HTTP 403状态代码表示您的请求是服务器禁止的。

HTTP 403状态代码 接收到不足以获得访问权限的有效凭据的服务器应该使用403 (禁止的)状态代码进行响应。 (RFC7231第6.5.3节)。

这很可能是由一些基于角色的访问控制造成的，这些访问控制可以防止您的帐户根据您指定的角色为某些存储帐户执行列表存储帐户的关键操作。

您可以使用下面的Azure PowerShell cmdlet来验证分配给特定范围下的特定对象的角色是否具有列出存储帐户键的权限。

Get-AzureRmRoleAssignment -Scope "/subscriptions/758ad253-#######f07/resourceGroups/spcwestus/providers/Microsoft.Storage/storageAccounts/grsstorag" -ObjectId 5c79ee27-###########-#####91f8e3

详情请参阅以下连结：

使用基于角色的访问控制来管理对Azure订阅资源的访问。

Answer 2

也许作为上面的加法。Azure具有存储帐户密钥运算符服务角色，其描述如下：

• 允许存储帐户密钥运算符在存储帐户上列出和重新生成密钥

授予您此角色应允许列出键。