Key Vault のアクセス ポリシーに関連するエラーについては、次の手順に従って、接続されたクラスターで実行されているアプライアンス拡張機能のプリンシパル ID を見つけます。
必要なKey Vaultの権限をMigrateアプライアンス拡張機能に割り当てる
Azure Migrate プロジェクトに移動します。
Azure Migrate: Discovery and assessment>Overview>Manage>Appliances に移動し、サービス プリンシパルを見つける必要がある Kubernetes ベースのアプライアンスの名前を見つけます。
アプライアンスに関連付けられている Key Vault を見つけるには、アプライアンスの名前を選択し、アプライアンスのプロパティで Key Vault 名を見つけます。
ワークステーションに移動し、管理者として PowerShell を開きます。
ARMクライアントのzipフォルダをインストールします。
フォルダーを解凍し、PowerShell ウィンドウで、抽出したフォルダーのあるディレクトリに切り替えます。
次のコマンドを実行して、Azure サブスクリプションにサインインします。
armclient login正常にサインインしたら、アプライアンス名を追加して次のコマンドを実行します。
armclient get /subscriptions/<subscription>/resourceGroups/<resourceGroup> /providers/Microsoft.Kubernetes/connectedClusters/<applianceName>/Providers/Microsoft.KubernetesConfiguration/extensions/credential-sync-agent?api-version=2022-03-01
- 応答には、アプライアンス拡張機能に関連付けられている ID が一覧表示されます。
identityセクションの下の応答のPrincipal IDフィールドをメモします。 - Azure portal に移動し、プリンシパル ID に、シークレット処理用に選択された Azure Key Vault に対する必要なアクセス権があるかどうかを確認します。
- Key Vault に移動し、アクセス ポリシーに移動し、一覧からプリンシパル ID を選択して、そのアクセス許可を確認するか、コマンドを実行して見つけたプリンシパル ID 専用の新しいアクセス ポリシーを作成します。
- プリンシパル ID に次のアクセス許可が割り当てられていることを確認します: シークレットのアクセス許可 と、 シークレット管理操作と特権管理操作の両方。
| エラー コード | アクション |
|---|---|
| 404 | 資格情報が Key Vault に存在するかどうかを確認します。 <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault から資格情報を削除するために必要なアクセス許可があることを確認します。 |
| 406 | <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault の資格情報にアクセスするために必要なアクセス許可があることを確認します。 |
| 407 | Key Vault のファイアウォール規則を確認し、アプライアンスの IP アドレスからのアクセスを許可して、操作を再試行してください。 |
| 413 | オンプレミスのアプライアンスから Key Vault にアクセスできること、および <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault に格納されているシークレットに対して操作を実行するために必要なアクセス許可があることを確認します。 |
| 415 | <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault の資格情報にアクセスするために必要なアクセス許可があることを確認します。 |
| 416 | 資格情報が Key Vault に存在するかどうかを確認します。 <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault に対する消去アクセス許可があることを確認します。 |
| 418 | 資格情報が Key Vault に存在するかどうかを確認します。 <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault から資格情報を削除するために必要なアクセス許可があることを確認します。 |
オペレーター エラー
| エラーコード | エラー メッセージ | 考えられる原因 | 修復 |
|---|---|---|---|
| 400 | 内部エラーが発生しました。 | 未処理のエラーのため、操作が失敗しました。 | 操作を再試行してください。 問題が解決しない場合は、サポートにお問い合わせください。 |
| 401 | リソース仕様を更新しようとしてエラーが発生しました。 | オペレーター サービス アカウントには、カスタム リソースを変更するアクセス許可がない可能性があります。 | オペレーター サービス アカウントに付与されたアクセス許可を確認し、カスタム リソースを更新する特権があることを確認し、操作を再試行します。 |
| 402 | 指定された転送モードが無効であるか、サポートされていません。 | 資格情報リソースの作成中に使用される転送モードはサポートされていません。 | 転送モードが有効でサポートされていることを確認し、操作を再試行してください。 |
| 403 | Kubernetes ベースのアプライアンスに資格情報を保存できませんでした。 | アプライアンス オペレーターのサービス アカウント connectedcredentials-sa<Microsoft.ConnectedCredentials> には、Kubernetes クラスターに資格情報を保存するために必要なアクセス許可がない可能性があります。 |
アプライアンス オペレーター サービス アカウントに必要なアクセス権を付与した後、操作を再試行してください。 |
| 404 | Key Vault から資格情報を削除できませんでした (オンプレミスのアプライアンスに同期した後)。 | <Microsoft.ConnectedCredentials> の拡張機能 ID には、Key Vault から資格情報を削除するために必要なアクセス許可がない可能性があります。 | 資格情報が Key Vault に存在するかどうかを確認します。 <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault から資格情報を削除するために必要なアクセス許可があることを確認します。 |
| 405 | Key Vault のシークレットにアクセスできませんでした。 | Key Vault は削除された可能性があるため、見つかりません。 | Key Vault が存在するかどうかを確認します。 存在する場合は、しばらくしてから操作を再試行し、そうでない場合は、Azure Migrate プロジェクトと同じ名前で、同じサブスクリプションとリソース グループに Key Vault を再作成してください。 |
| 406 | Key Vault のシークレットにアクセスできませんでした。 | <Microsoft.ConnectedCredentials> の拡張機能 ID には、Key Vault の資格情報にアクセスするために必要なアクセス許可がない可能性があります。 | <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault の資格情報にアクセスするために必要なアクセス許可があることを確認します。 |
| 407 | Key Vault のエンドポイントに接続できませんでした。 | Key Vault に関連付けられているファイアウォール規則がアクセスを制限している可能性があります。 | Key Vault のファイアウォール規則を確認し、アプライアンスの IP アドレスからのアクセスを許可して、操作を再試行してください。 |
| 408 | 操作が競合しているため、Key Vault のシークレットにアクセスできませんでした。 | シークレットが別の操作によって変更され、シークレットへのアクセスで競合が発生しました。 | 異なる Kubernetes クラスター上の他のアプライアンス拡張機能が同じ Key Vault 上のシークレットにアクセスしていないことを確認します。 |
| 409 | Key Vault のシークレットにアクセスしようとして、サポートされていないリージョンが原因でエラーが発生しました。 | サポートされていないリージョン。 | リージョンが Key Vault でサポートされていることを確認し、操作を再試行してください。 |
| 410 | シークレットにアクセスしようとして、サポートされていない SKU が原因でエラーが発生しました。 | サポートされていないSKU。 | SKU が Key Vault によってサポートされ、有効であることを確認し、操作を再試行してください。 |
| 411 | シークレットにアクセスしようとしたが、リソース・グループが欠落していることが判明したため、失敗しました。 | リソース グループが削除されます。 | リソース・グループが存在し、有効であることを確認し、操作を再試行してください。 |
| 412 | シークレットにアクセスしようとしたが、アクセスが拒否されたため失敗しました。 | 拡張機能の ID に関連付けられている証明書の有効期限が切れています。 | NAの |
| 413 | 不明なエラーのため、Key Vault のシークレットにアクセスできませんでした。 | Key Vault のアクセス ポリシーとネットワーク アクセス規則が正しく構成されていません。 | Key Vault のアクセス ポリシーまたはネットワーク ポリシーが正しく構成されていない可能性があります。 オンプレミスのアプライアンスから Key Vault にアクセスできること、および <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault に格納されているシークレットに対して操作を実行するために必要なアクセス許可があることを確認します。 |
| 414 | Key Vault のシークレットが見つからなかったため、シークレットにアクセスできませんでした。 | シークレットは、操作の進行中に削除できた可能性があります。 | シークレットが Key Vault に存在するかどうかを確認します。 存在しない場合は、既存の資格情報を削除してから、もう一度追加します。 |
| 415 | Key Vault のシークレットにアクセスできませんでした。 | <Microsoft.ConnectedCredentials> の拡張機能 ID には、Key Vault の資格情報にアクセスするために必要なアクセス許可がない可能性があります。 | Microsoft.ConnectedCredentials の拡張機能 ID に、Key Vault の資格情報にアクセスするために必要なアクセス許可があることを確認します。 |
| 416 | Key Vault から資格情報を削除できませんでした (オンプレミスのアプライアンスに同期した後)。 | <Microsoft.ConnectedCredentials> の拡張機能 ID には、Key Vault から資格情報を削除するために必要なアクセス許可がない可能性があります。 | 資格情報が Key Vault に存在するかどうかを確認します。 <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault に対する消去アクセス許可があることを確認します。 Key Vault で消去保護が有効になっている場合、シークレットは消去保護期間の後に自動的にクリーンアップされます。 |
| 417 | Key Vault のシークレットにアクセスできませんでした。 | Key Vault は削除された可能性があるため、見つかりません。 | Key Vault が存在するかどうかを確認します。 存在する場合は、しばらくしてから操作を再試行し、そうでない場合は、Azure Migrate プロジェクトと同じ名前で、同じサブスクリプションとリソース グループに Key Vault を再作成します。 |
| 418 | 削除されたシークレットを Key Vault から消去できませんでした。 | シークレットの削除操作が完了していない可能性があります。 | 資格情報が Key Vault に存在するかどうかを確認します。 <Microsoft.ConnectedCredentials> の拡張機能 ID に、Key Vault から資格情報を削除するために必要なアクセス許可があることを確認します。 |