使用 terraform,我们正在使用 SystemAssigned 身份创建 azurerm_mssql_server,一切顺利。我们还尝试将其身份添加到现有的 AD 组,但失败了。
这是失败的地形块。
resource "azuread_group_member" "my_sql_member" {
group_object_id = data.azuread_group.my_sql_group.object_id
member_object_id = azurerm_mssql_server.sql_servers.identity.principal_id
}
terraform {
required_providers {
azuread = {
source = "hashicorp/azuread"
version = "~> 2.48"
}
}
required_version = "~> 1.0"
}
这是它报告的错误。
azuread_group_member.my_sql_member: Creating...
Error: Adding group member "6c1g53s8-xxxx-xxxx-xxxx-xxxxxxxxxxxx" to group "09g3jk75-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
with azuread_group_member.my_sql_member,
on resource.tf line 43, in resource "azuread_group_member" "my_sql_member":
43: resource "azuread_group_member" "my_sql_member" {
GroupsClient.BaseClient.Post(): unexpected status 403 with OData error:
Authorization_RequestDenied: Insufficient privileges to complete the
operation.
我们使用 Azure 服务主体通过管道运行代码以连接 Azure AD,并基于 terraform 文档我们已经添加了以下 Microsoft Graph 权限及更多权限,但仍然没有成功。
有人建议我基本上开放所有访问权限,但我正在寻求一些帮助来缩小我们需要哪些确切权限才能使此功能正常工作。
您需要分配的权限是:
Group.ReadWrite.All 允许您对组进行 CRUD,而不是组成员。