servicePrincipal需要哪些角色才能从AZ创建AZ

Question

大家好，我试图在我的CI中创建一个AKS，但我与所需的特权斗争。

我使用服务主体登录，创建一个资源组，然后尝试创建一个aks。

- az login --service-principal -u ${AZ_PRINC_USER} -p ${AZ_PRINC_PASSWORD} --tenant ${AZ_PRINC_TENANT}
- az group create --name ${AZ_RESOURCE_GROUP} --location ${AZ_RESOURCE_LOCATION}
- az aks create --name ${AZ_AKS_TEST_CLUSTER} --resource-group ${AZ_RESOURCE_GROUP} --node-count ${AZ_AKS_TEST_NODECOUNT} --generate-ssh-keys

但是，执行过程中会出现一个错误：

错误:当前用户需要目录权限才能注册应用程序。如何配置，请参考'https://docs.microsoft.com/azure/azure-resource-manager/resource-group-create-service-principal-portal‘。原始错误:权限不足，无法完成操作。

你知道有什么特权是必要的吗？似乎应该有一个目录权限...但我真的无法找到并分配它。

Answer 1

你需要授予它在Azure AD中创建应用程序的权限(如果你没有预先创建这些应用程序)。您还需要授予其创建Microsoft.ContainerService/managedClusters/write (Microsoft.Authorization/roleAssignments/write)的权限，如果您想要部署到现有子网，则需要授予其分配角色( AKS )的权限。这将是逻辑上的最小派生，但我从未尝试过。仅使用这些权限可能无法执行此操作

您可能还需要一些Microsoft.Network权限