无法检索 KeyVault 参数“”的秘密。 Http 状态代码:“禁止”。错误消息:“拒绝第一方服务访问
问题描述 投票:0回答:1
我们有一个 Azure DevOps 管道,我们用它来使用 bicep 文件将基础设施部署到 Azure。在 Azure 中,我们创建了一个应用程序注册服务原则,并将其添加为我们订阅的贡献者,我们将其用作 Azure DevOps 中的服务连接,以允许我们部署所需的基础设施。
在管道中,我们正在创建一个 Key Vault 并将服务原则添加到访问策略中。在 Bicep 中,我试图获取一个秘密作为另一个基础设施资源的密码,但我不断收到以下错误:
{
"status": "Failed",
"error": {
"code": "DeploymentFailed",
"message": "At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/arm-deployment-operations for usage details.",
"details": [
{
"code": "Forbidden",
"message": "{\r\n \"error\": {\r\n \"code\": \"KeyVaultParameterReferenceSecretRetrieveFailed\",\r\n \"message\": \"The secret of KeyVault parameter 'password' cannot be retrieved. Http status code: 'Forbidden'. Error message: 'Access denied to first party service.\\r\\nCaller: name=ARM;tid=f8cdef31...;appid=797f4846...;oid=f248a218...;iss=https://sts.windows.net/f8cdef31.../\\r\\nVault: kv-kf-web-shared-fea-ne;location=northeurope'. Please see https://aka.ms/arm-keyvault for usage details.\"\r\n }\r\n}"
}
]
}
}
main.bicep:
// Module: Key Vault
module keyVaultModule '../../Bicep.Modules/keyVault.bicep' = {
name: 'keyVaultDeployment'
params: {
application: '${application}-shared'
environment: environment
location: location
tags: tags
}
scope: resourceGroup
}
resource keyVault 'Microsoft.KeyVault/vaults@2022-07-01' existing = {
name: keyVaultModule.outputs.name
scope: resourceGroup
}
// Module: SQL Server
module databaseServerModule '../../Bicep.Modules/databaseServer.bicep' = {
name: 'databaseServerDeployment'
params: {
application: '${application}-shared'
environment: environment
location: location
tags: tags
keyVaultName: keyVaultModule.outputs.name
password: keyVault.getSecret('password-databaseServer-sql-${application}-shared-${environment}-${shortlocation}')
}
scope: resourceGroup
}
/keyVault.bicep
// Resource - Function App
resource keyVault 'Microsoft.KeyVault/vaults@2022-07-01' = {
name: name
location: location
tags: tags
properties: {
accessPolicies: [
{
objectId: '{ AAD-GRP-Dev-DevOps Object Id }'
permissions: {
certificates: [
'all'
]
keys: [
'all'
]
secrets: [
'all'
]
storage: [
'all'
]
}
tenantId: subscription().tenantId
}
{
objectId: '{ Windows Azure Service Management API Object Id }'
permissions: {
certificates: [
'all'
]
keys: [
'all'
]
secrets: [
'all'
]
storage: [
'all'
]
}
tenantId: subscription().tenantId
}
{
objectId: '{ Windows Azure Service Management API Object Id }'
permissions: {
certificates: [
'all'
]
keys: [
'all'
]
secrets: [
'all'
]
storage: [
'all'
]
}
tenantId: subscription().tenantId
}
]
sku: {
family: 'A'
name: 'standard'
}
tenantId: subscription().tenantId
}
}
Key Vault 访问策略:
1个回答
0
投票
投票
在 Key Vault 的访问配置中,检查 Azure 资源管理器的模板部署,如果需要,可能还检查 VM。
最新问题
- 如何将 axum-login 与 axum-typed-routing 一起使用?
- 如何将 uint16 字节从一个数组复制到 mex C++ 中的 MATLABString
- 使用 sympy 求解两个变量的不等式
- 随机森林/决策树输出概率设计:使用正输出叶子样本/总输出叶子样本
- SunEditor插入html后如何设置光标位置
- 禁用日期选择器上的过去日期
- Python 3.8 与 Protos 5.27.0 的兼容性问题
- 在另一个宏中定义宏
- 如何在Excel中找到同一行中有2个匹配字段的单元格?
- 使用 Chainlink 函数回调时遇到错误
- 未安装react-native的错误
- 哪里可以找到或下载USB Driver文件夹?
- 在加载UI服务器端检索查询参数 - NextJS v14
- BootCompletedReceiver.onReceive
- 如何反编译NW.js exe
- 使用 Azure 数据工厂将数据从本地 SQL Server 迁移到 Azure
- 如何使用java将漂亮格式的json文件转换为简单的单行json文件?
- 在同一个参数中分别更新两个参数(ECHARTS)
- Foreman 的问题 --- > engine.rb:201:in `kill': 无效参数 (Errno::EINVAL)
- 如何使用API更新工单字段
© www.soinside.com 2019 - 2024. All rights reserved.