Condividi tramite

Errore "Credenziali di Azure non valide fornite" durante la configurazione del server CycleCloud

  • Articolo

Questo articolo descrive come risolvere un errore "Credenziali di Azure non valide fornite" che potrebbe verificarsi quando si configura un server CycleCloud.

Background

Quando si configura CycleCloud, è possibile usare l'entità servizio o le identità gestite per la gestione delle autorizzazioni. In entrambi gli scenari è necessario assegnare un ruolo Collaboratore per la sottoscrizione. Il ruolo Collaboratore è necessario per autorizzare un'entità servizio o identità gestite a eseguire azioni di sottoscrizione, ad esempio la creazione di un account di archiviazione o la creazione di macchine virtuali.The Contributor role is required to authorize either a service principal or managed identities to take subscription actions, such as creating a storage account or creating virtual machines (VMs).

Sintomi

Quando si tenta di configurare il server CycleCloud insieme a un'entità servizio o a identità gestite, viene visualizzato il messaggio di errore seguente:

Credenziali di Azure non valide: il client '<tenant-guid>' con ID oggetto '<application-guid>' non dispone dell'autorizzazione per eseguire l'azione 'Microsoft.Storage/storageAccounts/read' sull'ambito '/subscriptions/<subscription-guid>' o l'ambito non è valido. Se l'accesso è stato concesso di recente, aggiornare le credenziali.

Causa

Il ruolo non è stato assegnato correttamente all'entità servizio o alle identità gestite.

Nota

Il ruolo Collaboratore è l'opzione più semplice che include autorizzazioni sufficienti per la gestione delle risorse CycleCloud in una sottoscrizione, ad esempio macchine virtuali, rete e archiviazione. Tuttavia, il ruolo Collaboratore ha un livello di privilegi superiore a quello richiesto da CycleCloud. È quindi possibile usare un ruolo personalizzato in scenari più complessi. Se si sta valutando l'uso di un ruolo personalizzato, è consigliabile esaminare in modo più approfondito le definizioni dei ruoli di Azure e le azioni specifiche.

Soluzione per l'entità servizio

Configurazione dell'entità servizio

Durante la configurazione iniziale di CycleCloud, è possibile creare un'entità servizio seguendo le istruzioni in Uso dell'entità servizio. Usare un comando dell'interfaccia della riga di comando per creare l'entità servizio e assegnare un ruolo Collaboratore per la sottoscrizione.

Controllare le autorizzazioni di sottoscrizione

  1. Accedere al portale di Azure e cercare Sottoscrizioni.
  2. Individuare la sottoscrizione che si vuole usare per CycleCloud (se sono elencate più sottoscrizioni).
  3. Selezionare Controllo di accesso (IAM), selezionare la scheda Assegnazioni di ruolo e quindi individuare la voce Ruolo collaboratore.
  4. Verificare che l'entità servizio (non l'utente che distribuisce CycleCLoud) non sia presente nel ruolo Collaboratore .

È molto probabile che l'entità servizio non sia presente negli scenari che coinvolgono più utenti e tenant. Questa situazione è probabile anche se si sta tentando di usare un'entità servizio esistente per lo sviluppo cyclecloud invece di crearne una nuova.

Aggiungere assegnazioni di ruolo

Prerequisiti

Per aggiungere assegnazioni di ruolo, è necessario disporre dell'autorizzazione Microsoft.Authorization/roleAssignments/write per la sottoscrizione, ad esempio Amministratore accesso utente o Proprietario. Per impostazione predefinita, l'autorizzazione scrittura non viene concessa a un collaboratore.

Per aggiungere un ruolo Collaboratore all'entità servizio usata per lo sviluppo cyclecloud, seguire la procedura descritta in Assegnare ruoli di Azure usando il portale di Azure.

Soluzione per l'identità gestita

Configurazione delle identità gestite

Quando si configurano le identità gestite, si abilitano le identità gestite durante o dopo la creazione della macchina virtuale CycleCloud, come descritto in Configurare le identità gestite usando il portale di Azure.

Dopo aver abilitato le identità gestite, è necessario assegnare il ruolo di sottoscrizione Collaboratore all'identità gestita.

Seguire questa procedura per aggiungere un ruolo Collaboratore alla sottoscrizione:

  1. Accedere alla portale di Azure e individuare la macchina virtuale del server CycleCloud.
  2. Nel pannello a sinistra selezionare Settings Identity (Identità impostazioni>).
  3. Selezionare Assegnazioni di ruolo di> AzureAggiungi assegnazioni di ruolo e quindi selezionare Sottoscrizione e collaboratore dal menu.
  4. La creazione della nuova assegnazione potrebbe richiedere da uno a due minuti. Dopo che è stato creato, assicurarsi di verificare le credenziali in CycleCloud.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.