Azure Powershell添加AzureKeyVaultManagedStorageAccount失败

Question

即使我正在订阅所有者配置文件下执行它，我无法执行Azure Powershell命令Add-AzureKeyVaultManagedStorageAccount。我通过以下方式成功创建keyvault，存储账户，并存储帐户关键：

$KeyVault = New-AzureRmKeyVault ` 
    -VaultName "<redacted>" ` 
    -ResourceGroupName $ResourceGroup.ResourceGroupName ` 
    -Location $Location ` 
    -EnabledForDiskEncryption ` 
    -EnabledForDeployment ` 
    -Tag $Tags 

$StorageAccount = New-AzureRmStorageAccount ` 
    -ResourceGroupName $ResourceGroup.ResourceGroupName ` 
    -Name "<redacted>" ` 
    -SkuName Standard_LRS ` 
    -Location $Location ` 
    -Kind "Storage" ` 
    -EnableEncryptionService "Blob,File" ` 
    -Tag $Tags ` 
    -AssignIdentity 

$StorageAccountKey = New-AzureRmStorageAccountKey ` 
    -ResourceGroupName $ResourceGroup.ResourceGroupName ` 
    -Name $StorageAccount.StorageAccountName ` 
    -KeyName "key1" 

，但想在我的关键金库管理存储帐户密钥失败

$KeyVaultManagedStorageAccount = Add-AzureKeyVaultManagedStorageAccount ` 
    -VaultName $KeyVault.VaultName ` 
    -AccountName $StorageAccount.StorageAccountName ` 
    -AccountResourceId $StorageAccount.Id ` 
    -ActiveKeyName "key1" ` 
    -Tag $Tags 

这是错误。正如我所提到的，我是在订阅所有者配置文件下执行的，那么它如何不能获得授权？其次，下面标识的“相同的编辑对象ID”与我可以找到的订阅中的任何对象不对应。我第一次遇到了Azure Powershell 4.2.1的这个问题，并且已经升级到4.3.0并且仍然存在问题。

Add-AzureKeyVaultManagedStorageAccount : The client '<same redacted object Id>' with object id '<same redacted object Id>' does not have authorization to perform action 
'Microsoft.Authorization/permissions/read' over scope 
'/subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>/providers/Microsoft.Authorization'. 
At E:\BitSync\Scripts\Azure\Create-Environment.ps1:129 char:34 
+ ... VaultManagedStorageAccount = Add-AzureKeyVaultManagedStorageAccount ` 
+         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
    + CategoryInfo   : CloseError: (:) [Add-AzureKeyVaultManagedStorageAccount], KeyVaultErrorException 
    + FullyQualifiedErrorId : Microsoft.Azure.Commands.KeyVault.AddAzureKeyVaultManagedStorageAccount 

顺便说一句，有没有出现任何的方式，通过重点库比剪切和粘贴等门户来管理存储帐户的密钥。

Answer 1

根据您的错误消息，它是RBAC问题，您使用的服务主体在该租户中没有权限。

租户有订阅，服务主体属于租户。 Azure资源管理器还为给定委托人提供基于角色的授权，这将授予其在Azure资源上的权利。看起来服务负责人没有权利阅读该订阅。

我们可以通过Azure门户在资源范围内分配RBAC角色，关于分配RBAC的更多信息请参考此link。

注意：
重点跳马需要的权限列表和重新生成密钥用于存储account.we可以使用以下步骤来做到这一点：

获取的ObjectId帐户：

Get-AzureRmADServicePrincipal -SearchString "Azure Key Vault" 

将存储关键操作员角色分配给Azure密钥库标识：

New-AzureRmRoleAssignment -ObjectId <objectId of AzureKeyVault from previous command> -RoleDefinitionName 'Storage Account Key Operator Service Role' -Scope '<azure resource id of storage account>' 

有关基于角色的访问控制权限设置的更多信息，请参阅此article。

更新：

此外，我们还应该设置天青键金库访问策略权限存储。

​​

这里是我的keyvault截图：

通过这种方式，我们可以使用您的脚本来添加键库的存储帐户。

UPDATE2：
我有重现此错误，根本原因是，我们不能授予服务主体Azure Key Vault许可。

我们可以使用这个命令找到对象ID，和你的错误信息一样。

Get-AzureRmADServicePrincipal -SearchString "Azure Key Vault" 

然后我们授与此服务主体，使用这个脚本：

New-AzureRmRoleAssignment -ObjectId '2f6d671f-6c8d-4104-812a-390c5648aed0' -RoleDefinitionName 'Storage Account Key Operator Service Role' -Scope '/subscriptions/53847abb-xxxx-xxxx-xxxx-xxxxe29axxxx/resou 
rceGroups/jasonkey/providers/Microsoft.Storage/storageAccounts/jasondisk321' 

这里是我的结果：

UPDATE3：
运行Add-AzureKeyVaultManagedStorageAccount后，我们应该运行这个命令来获得秘密UR我：

Set-AzureKeyVaultManagedStorageSasDefinition -Service Blob -ResourceType Container,Service -VaultName yourKV 
-AccountName msak01 -Name blobsas1 -Protocol HttpsOnly -ValidityPeriod ([System.Timespan]::FromDays(1)) -Permission Read,List 

下面是结果：

更多获取秘密URI信息，请参阅本article。