问题描述
我有一个带有脚本的应用程序 (AWX),该脚本试图在 Azure 中执行操作(向虚拟机添加标签)。在 AWX 中,我收到以下错误,显然来自 Azure:msg: "Error retrieving resource group usw-sys-rg-001 - The client '9d...27' with object id '9d...27' does not have authorization to perform action 'Microsoft.Resources/subscriptions/resourcegroups/read' over scope '/subscriptions/83...4a/resourcegroups/usw-sys-rg-001' or the scope is invalid. If access was recently granted,please refresh your credentials."
似乎是简单明了的消息。正在使用的帐户/身份/委托人未经授权。问题是,错误消息中的客户端 ID 与我在 AWX 中拥有的任何凭据对象都不相关。特别是它与我在 AWX 中拥有的 Microsoft Azure 资源管理器凭据无关。由于不是这本 AWX 剧本的作者,我对这一切感到有些困惑。
由于错误似乎来自Azure,而且Azure似乎并没有说client id不存在,这让我觉得我应该能够在Azure中找到那个身份(大概是服务主体) 并检查其权限。但是,当我过滤应用注册时,我找不到与上述错误消息中的客户端 ID 匹配的条目。
如何在 Azure 门户中找到服务主体?还是别的什么?
我一定是看错了。有没有人有任何指示?非常感谢。