Azure RBAC sorun giderme

Bu makalede Azure rol tabanlı erişim denetimi (Azure RBAC) ile ilgili sorunlar için bazı yaygın çözümler açıklanmaktadır.

Sınırlar

Belirti - Başka rol ataması oluşturulamıyor

Rol atamaya çalıştığınızda aşağıdaki hata iletisini alırsınız:

No more role assignments can be created (code: RoleAssignmentLimitExceeded)

Neden

Azure, abonelik başına en fazla 4000 rol atamasını destekler. Bu sınır abonelikteki, kaynak grubundaki ve kaynak kapsamlarındaki rol atamalarını içerir ama yönetim grubu kapsamındaki atamaları içermez.

Not

Azure Kamu ve Azure China 21Vianet gibi özelleştirilmiş bulutlar için abonelik başına 2000 rol ataması sınırı vardır.

Çözüm

Abonelikteki rol atamalarının sayısını azaltmayı deneyin. Rol atamalarının sayısını azaltmanın bazı yolları şunlardır:

  • Bunun yerine kullanıcıları gruplara ekleyin ve gruplara roller atayın.
  • Birden çok yerleşik rolü özel bir rolle birleştirin.
  • Abonelik ve yönetim grubu daha yüksek bir kapsamda ortak rol atamaları yapın.
  • Azure AD Premium P2 kullanıyorsanız rolleri kalıcı olarak atamak yerine rol atamalarını Azure AD Privileged Identity Management'ta uygun hale getirin.
  • Bir abonelik daha ekleyin.

Rol atamalarının sayısını, Azure portalda Erişim denetimi (IAM) sayfasındaki grafikte görebilirsiniz. Aşağıdaki Azure PowerShell komutlarını da kullanabilirsiniz:

$scope = "/subscriptions/<subscriptionId>"
$ras = Get-AzRoleAssignment -Scope $scope | Where-Object {$_.scope.StartsWith($scope)}
$ras.Count

Belirti - Yönetim grubu kapsamında başka rol ataması oluşturulamıyor

Yönetim grubu kapsamında rol atayamazsınız.

Neden

Azure, yönetim grubu başına en fazla 500 rol atamasını destekler. Bu sınır abonelik başına rol ataması sayısı sınırından faklıdır.

Not

Yönetim grubu başına 500 rol ataması sınırı sabittir ve artırılamaz.

Çözüm

Yönetim grubundaki rol atamalarının sayısını azaltmayı deneyin.

Azure rol atamaları

Belirti - Rol atanamadı

Rolataması ekle> seçeneği devre dışı bırakıldığından veya aşağıdaki izinler hatasını aldığınızdan, Erişim denetimindeki (IAM) Azure portal rol atayamazsınız:

The client with object id does not have authorization to perform action

Neden

Şu anda seçili kapsamda rol atama izni olmayan bir kullanıcıyla oturum açmış durumdasınız.

Çözüm

Rolü atamaya çalıştığınız kapsamda Sahip veya Kullanıcı Erişimi Yöneticisi gibi izinlere sahip Microsoft.Authorization/roleAssignments/write bir role atanmış bir kullanıcıyla şu anda oturum açtığınızdan emin olun.

Belirti - Azure CLI ile hizmet sorumlusu kullanarak rol atanamıyor

Azure CLI ile rol atamak için hizmet sorumlusu kullanıyorsunuz ve aşağıdaki hatayı alıyorsunuz:

Insufficient privileges to complete the operation

Örneğin, Sahip rolü atanmış bir hizmet sorumlunuz olduğunu ve hizmet sorumlusu olarak Azure CLI üzerinden aşağıdaki rol atamalarını oluşturmaya çalıştığınızı varsayalım:

az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Neden

Azure CLI büyük olasılıkla Azure AD'de atanan kimliği aramaya çalışır ve hizmet sorumlusu varsayılan olarak Azure AD okuyamaz.

Çözüm

Bu hatayı çözmenin iki yolu vardır. İlk yol, dizindeki verileri okuyabilmesi için hizmet sorumlusuna Dizin Okuyucuları rolünü atamaktır.

Bu hatayı düzeltmenin ikinci yolu, yerine --assigneeparametresini kullanarak rol atamasını --assignee-object-id oluşturmaktır. Azure CLI --assignee-object-id kullanarak Azure AD aramasını atlar. Rolü atamak istediğiniz kullanıcı, grup veya uygulamanın nesne kimliğini almanız gerekir. Daha fazla bilgi için bkz. Azure CLI kullanarak Azure rolleri atama.

az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Belirti - Rol atama işlemi bazen REST API veya ARM şablonlarıyla başarısız oluyor

Yeni bir hizmet sorumlusu oluşturup bu hizmet sorumlusuna hemen bir rol atamaya çalışırsınız ve rol ataması bazen başarısız olur.

Neden

Bunun nedeni büyük olasılıkla bir çoğaltma gecikmesidir. Hizmet sorumlusu tek bir bölgede oluşturulur; ancak rol ataması, hizmet sorumlusunu henüz çoğaltmamış farklı bir bölgede gerçekleşebilir.

Çözüm

Rol ataması oluştururken principalType özelliğini ServicePrincipal olarak ayarlayın. Rol atamasının apiVersion özelliğini de 2018-09-01-preview veya üzeri olarak ayarlamanız gerekir. Daha fazla bilgi için, bkz. REST API kullanarak yeni hizmet sorumlusuna Azure rolleri atama veya Azure Resource Manager şablonlarını kullanarak yeni hizmet sorumlusuna Azure rolleri atama.

Belirti - ARM şablonu rol ataması BadRequest durumunu döndürüyor

Hizmet sorumlusuna rol atayan bir Bicep dosyası veya ARM şablonu dağıtmaya çalıştığınızda şu hatayı alırsınız:

Tenant ID, application ID, principal ID, and scope are not allowed to be updated. (code: RoleAssignmentUpdateNotPermitted)

Örneğin, yönetilen kimlik için rol ataması oluşturursanız, yönetilen kimliği siler ve yeniden oluşturursanız, yeni yönetilen kimliğin farklı bir asıl kimliği vardır. Rol atamasını yeniden dağıtmayı dener ve aynı rol ataması adını kullanırsanız dağıtım başarısız olur.

Neden

Rol ataması name benzersiz değildir ve güncelleştirme olarak görüntülenir.

Rol atamaları, genel olarak benzersiz bir tanımlayıcı (GUID) olan adlarıyla benzersiz olarak tanımlanır. Farklı Azure aboneliklerinde bile aynı ada sahip iki rol ataması oluşturamazsınız. Mevcut rol atamasının özelliklerini de değiştiremezsiniz.

Çözüm

Rol ataması nameiçin bir kez etkili benzersiz bir değer sağlayın. Kapsamı, asıl kimliği ve rol kimliğini birlikte kullanan bir GUID oluşturmak iyi bir uygulamadır. Bu örnekte olduğu guid() gibi rol atama adlarınız için belirleyici bir GUID oluşturmanıza yardımcı olması için işlevini kullanmak iyi bir fikirdir:

resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-10-01-preview' = {
  name: guid(resourceGroup().id, principalId, roleDefinitionId)
  properties: {
    roleDefinitionId: roleDefinitionId
    principalId: principalId
    principalType: principalType
  }
}

Daha fazla bilgi için bkz. Bicep kullanarak Azure RBAC kaynakları oluşturma.

Belirti - Kimliği bulunmayan rol atamaları

Azure portal rol atamaları listesinde güvenlik sorumlusunun (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik) Bilinmeyen türde Kimlik bulunamadı olarak listelendiğini fark edeceksiniz.

Azure rol atamasında kimlik bulunamadı durumu listeleniyor

Bu rol atamasını Azure PowerShell kullanarak listelerseniz, boş DisplayName ve SignInNameveya değerini ObjectTypeUnknowngörebilirsiniz. Örneğin Get-AzRoleAssignment aşağıdaki çıkışa benzer bir rol ataması döndürür:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : User
CanDelegate        : False

Benzer şekilde bu rol atamasını Azure CLI kullanarak listelerseniz boş bir principalName görebilirsiniz. Örneğin az rol ataması listesi aşağıdaki çıkışa benzer bir rol ataması döndürür:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Neden 1

Kısa süre önce rol ataması oluştururken bir kullanıcıyı davet ettiniz ve bu güvenlik sorumlusu bölgeler arasında çoğaltma işlemine devam ediyor.

Çözüm 1

Birkaç dakika bekleyin ve rol atamaları listesini yenileyin.

Neden 2

Rol ataması olan bir güvenlik sorumlusunu silmiştiniz. Güvenlik sorumlusuna rol atarsanız ve sonra bu güvenlik sorumlusunu rol atamasını kaldırmadan silerseniz güvenlik sorumlusu Kimlik bulunamadı olarak ve Bilinmeyen türüyle listelenir.

Çözüm 2

Bu rol atamalarını güvenlik sorumlusunun silindiği yerde bırakmak sorun değildir. İsterseniz, diğer rol atamalarına benzer adımları kullanarak bu rol atamalarını kaldırabilirsiniz. Rol atamalarını kaldırma hakkında bilgi için bkz. Azure rol atamalarını kaldırma.

PowerShell'de nesne kimliği ve rol tanımı adını kullanarak rol atamalarını kaldırmaya çalışırsanız ve parametrelerinizle birden fazla rol ataması eşleşirse şu hata iletisini alırsınız: The provided information does not map to a role assignment. Aşağıdaki çıkışta hata iletisi örneği gösterilmektedir:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Bu hata iletisini alırsanız veya -ResourceGroupName parametrelerini de belirttiğinizden -Scope emin olun.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

Belirti - Son Sahip rolü ataması silinemiyor

Bir abonelik için son Sahip rolü atamasını kaldırmaya çalıştığınızda aşağıdaki hatayı görürsünüz:

Cannot delete the last RBAC admin assignment

Neden

Aboneliğin yalnız bırakılmış duruma düşmesini önlemek için abonelikteki son Sahip rolünün kaldırılması desteklenmez.

Çözüm

Aboneliğinizi iptal etmek istiyorsanız bkz. Azure aboneliğinizi iptal etme.

Kiracının Genel Yöneticisiyseniz abonelik kapsamındaki son Sahip (veya Kullanıcı Erişimi Yöneticisi) rol atamasını kaldırmanıza izin verilir. Bu durumda silme kısıtlaması yoktur. Ancak, çağrı başka bir sorumludan geliyorsa abonelik kapsamındaki son Sahip rolü atamasını kaldıramazsınız.

Belirti - Bir kaynak taşındıktan sonra rol ataması taşınmaz

Neden

Doğrudan kaynağa (veya alt kaynağa) Azure rolü atanmış bir kaynağı taşırsanız rol ataması taşınmaz ve yalnız bırakılmış duruma gelir.

Çözüm

Bir kaynağı taşıdıktan sonra rol atamasını yeniden oluşturmanız gerekir. Yalnız bırakılmış rol ataması sonunda otomatik olarak kaldırılır ancak en iyi yöntem kaynağı taşımadan önce rol atamasını kaldırmaktır. Kaynakları taşıma hakkında bilgi için bkz. Kaynakları yeni bir kaynak grubuna veya aboneliğe taşıma.

Belirti - Rol atama değişiklikleri algılanmadı

Kısa süre önce bir rol ataması eklediniz veya güncelleştirdiniz, ancak değişiklikler algılanmadı. iletisini Status: 401 (Unauthorized)görebilirsiniz.

Neden 1

Azure Resource Manager bazen performansı artırmak için yapılandırmaları ve verileri önbelleğe alır. Rolleri atadığınızda veya rol atamalarını kaldırdığınızda değişikliklerin geçerlilik kazanması 30 dakika kadar sürebilir.

Çözüm 1

Azure portal, Azure PowerShell veya Azure CLI kullanıyorsanız oturumu kapatıp açarak rol atamanızı yenilemeye zorlayabilirsiniz. Rol ataması değişikliklerini REST API çağrılarıyla gerçekleştiriyorsanız erişim belirtecinizi yenileyerek yenilemeye zorlayabilirsiniz.

Yönetim grubu kapsamında rol ataması ekliyor veya kaldırıyorsanız ve rolün DataActions özelliği varsa, veri düzleminde erişimin güncelleştirilmesi birkaç saat sürebilir. Bu yalnızca yönetim grubu kapsamında ve veri düzleminde geçerlidir.

Neden 2

Bir gruba yönetilen kimlikler eklediniz ve bu gruba bir rol atamıştınız. Yönetilen kimlikler için arka uç hizmetleri, kaynak URI'sine göre yaklaşık 24 saat boyunca önbellek tutar.

Çözüm 2

Yönetilen kimliğin grubundaki veya rol üyeliğindeki değişikliklerin etkili olması birkaç saat sürebilir. Daha fazla bilgi için bkz. Yetkilendirme için yönetilen kimlikleri kullanma sınırlaması.

Özel roller

Belirti - Özel rol güncelleştirilemedi

Mevcut bir özel rolü güncelleştiremezsiniz.

Neden

Şu anda özel rolleri güncelleştirme izni olmayan bir kullanıcıyla oturum açmış durumdasınız.

Çözüm

Şu anda Sahip veya Kullanıcı Erişimi Yöneticisi gibi izinlere sahip bir role atanmış bir kullanıcıyla oturum açtığınızdan Microsoft.Authorization/roleDefinition/write emin olun.

Belirti - Özel rol oluşturulamıyor veya güncelleştirilemiyor

Özel rol oluşturmaya veya güncelleştirmeye çalıştığınızda aşağıdakine benzer bir hata alırsınız:

The client '<clientName>' with object id '<objectId>' has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/<subscriptionId>'; however, it does not have permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on the linked scope(s)'/subscriptions/<subscriptionId1>,/subscriptions/<subscriptionId2>,/subscriptions/<subscriptionId3>' or the linked scope(s)are invalid

Neden

Bu hata genellikle özel roldeki atanabilir kapsamlardan biri veya daha fazlası için izniniz olmadığını gösterir.

Çözüm

Aşağıdaki işlemi deneyin:

Daha fazla bilgi için Azure portal, Azure PowerShell veya Azure CLI kullanarak özel rol öğreticilerine bakın.

Belirti - Özel rol silinemiyor

Özel bir rolü silemiyor ve aşağıdaki hata iletisini alıyorsunuz:

There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)

Neden

Hala özel rolü kullanan rol atamaları var.

Çözüm

Özel rolü kullanan rol atamalarını kaldırın ve özel rolü silmeyi yeniden deneyin. Daha fazla bilgi için bkz. Özel rolü silmek için rol atamalarını bulma.

Belirti - Atanabilir kapsam olarak birden fazla yönetim grubu eklenemiyor

Özel rol oluşturmaya veya güncelleştirmeye çalıştığınızda, atanabilir kapsam olarak birden fazla yönetim grubu ekleyemezsiniz.

Neden

Özel bir rolde AssignableScopes yalnızca bir yönetim grubu tanımlayabilirsiniz. 'a AssignableScopes bir yönetim grubu ekleme işlemi şu anda önizleme aşamasındadır.

Çözüm

Özel rolünüzde AssignableScopes bir yönetim grubu tanımlayın. Özel roller ve yönetim grupları hakkında daha fazla bilgi için bkz. Kaynaklarınızı Azure yönetim gruplarıyla düzenleme.

Belirti - Özel role veri eylemleri eklenemiyor

Özel rol oluşturmaya veya güncelleştirmeye çalıştığınızda veri eylemleri ekleyemezsiniz veya aşağıdaki iletiyi görürsünüz:

You cannot add data action permissions when you have a management group as an assignable scope

Neden

Veri eylemleri ve atanabilir kapsam olarak bir yönetim grubu ile özel bir rol oluşturmaya çalışıyorsunuz. ile DataActions özel roller yönetim grubu kapsamında atanamaz.

Çözüm

Atanabilir kapsam olarak bir veya daha fazla abonelikle özel rol oluşturun. Özel roller ve yönetim grupları hakkında daha fazla bilgi için bkz. Kaynaklarınızı Azure yönetim gruplarıyla düzenleme.

Belirti - Başka rol tanımı oluşturulamıyor

Yeni bir özel rol oluşturmaya çalıştığınızda aşağıdaki iletiyi alırsınız:

Role definition limit exceeded. No more role definitions can be created (code: RoleDefinitionLimitExceeded)

Neden

Azure, bir dizinde en fazla 5000 özel rolü destekler. (Azure China 21Vianet için sınır 2000 özel roldür.)

Çözüm

Özel rol sayısını azaltmayı deneyin.

Erişim engellendi veya izin hataları

Belirti - Yetkilendirme başarısız oldu

Kaynak oluşturmaya çalıştığınızda aşağıdaki hata iletisini alırsınız:

The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)

Neden

Şu anda seçili kapsamdaki kaynak için yazma izni olmayan bir kullanıcıyla oturum açtınız.

Çözüm

Seçili kapsamdaki kaynağa yazma izni olan bir rol atanmış bir kullanıcıyla şu anda oturum açtığınızdan emin olun. Örneğin bir kaynak grubundaki sanal makineleri yönetmek için kaynak grubunda (veya üst kapsamda) Sanal Makine Katılımcısı rolüne sahip olmanız gerekir. Yerleşik rollerin izinlerinin yer aldığı liste için bkz. Azure yerleşik rolleri.

Belirti - Destek isteği oluşturulamadı

Destek bileti oluşturmaya veya güncelleştirmeye çalıştığınızda aşağıdaki hata iletisini alırsınız:

You don't have permission to create a support request

Neden

Şu anda destek istekleri oluşturma izni olmayan bir kullanıcıyla oturum açmış durumdasınız.

Çözüm

Şu anda destek isteği katkıda bulunanı gibi izni olan bir role atanmış bir kullanıcıyla oturum açtığınızdan Microsoft.Support/supportTickets/write emin olun.

Azure özellikleri devre dışı bırakıldı

Belirti - Bazı web uygulaması özellikleri devre dışı bırakıldı

Kullanıcının bir web uygulamasına okuma erişimi vardır ve bazı özellikler devre dışı bırakılır.

Neden

Bir kullanıcıya bir web uygulaması için okuma erişimi verirseniz, beklemediğiniz bazı özellikler devre dışı bırakılır. Aşağıdaki yönetim özellikleri bir web uygulamasına yazma erişimi gerektirir ve hiçbir salt okunur senaryoda kullanılamaz.

  • Komutlar (başlat, durdur vb.)
  • Genel yapılandırma, ölçek ayarları, yedekleme ayarları ve izleme ayarları gibi ayarları değiştirme
  • Yayımlama kimlik bilgilerine ve uygulama ayarları ile bağlantı dizeleri gibi diğer gizli dizilere erişim
  • Akış günlükleri
  • Kaynak günlükleri yapılandırması
  • Konsol (komut istemi)
  • Etkin ve son dağıtımlar (yerel git sürekli dağıtımı için)
  • Tahmini harcama
  • Web testleri
  • Sanal ağ (okuyucuya görüntülenmesi için yazma erişimine sahip bir kullanıcı tarafından önceden bir sanal ağın yapılandırılmış olması gerekir).

Çözüm

Katkıda Bulunanı veya web uygulaması için yazma izinlerine sahip başka bir Azure yerleşik rolünü atayın.

Belirti - Bazı web uygulaması kaynakları devre dışı bırakıldı

Kullanıcının bir web uygulamasına yazma erişimi vardır ve bazı özellikler devre dışı bırakılır.

Neden

Birbirini etkileyen birkaç farklı kaynağın varlığı web uygulamalarını karmaşık hale getirir. Aşağıda birkaç web sitesi içeren tipik bir kaynak grubu gösterilmiştir:

Web uygulaması kaynak grubu

Sonuç olarak birine yalnızca web uygulaması üzerinde erişim verirseniz, Azure portalın web sitesi dikey penceresindeki özelliklerin çoğu devre dışı bırakılır.

Bu öğeler, web sitenize karşılık gelenApp Service planına yazma erişimi gerektirir:

  • Web uygulamasının fiyatlandırma katmanını görüntüleme (Ücretsiz veya Standart)
  • Ölçek yapılandırması (örnek sayısı, sanal makine boyutu, otomatik ölçeklendirme ayarları)
  • Kotalar (depolama, bant genişliği, CPU)

Bu öğeler, web sitenizi içeren Kaynak grubunun tamamına yazma erişimi gerektirir:

  • TLS/SSL Sertifikaları ve bağlamaları (TLS/SSL sertifikaları aynı kaynak grubu veya coğrafi bölgedeki siteler arasında paylaşılabilir)
  • Uyarı kuralları
  • Otomatik ölçeklendirme ayarları
  • Application Insights bileşenleri
  • Web testleri

Çözüm

App Service planı veya kaynak grubu için yazma izinlerine sahip bir Azure yerleşik rolü atayın.

Belirti - Bazı sanal makine özellikleri devre dışı bırakıldı

Kullanıcının sanal makineye erişimi vardır ve bazı özellikler devre dışı bırakılır.

Neden

Web uygulamalarına benzer şekilde, sanal makine dikey penceresindeki bazı özellikler sanal makineye veya kaynak grubundaki diğer kaynaklara yazma erişimi gerektirir.

Sanal makineler Etki alanı adları, sanal ağlar, depolama hesapları ve uyarı kurallarıyla ilişkilidir.

Bu öğeler sanal makineye yazma erişimi gerektirir:

  • Uç Noktalar
  • IP adresleri
  • Diskler
  • Uzantıları

Bunlar hem sanal makineye hem de içinde yer alan kaynak grubuna (Etki alanı adıyla birlikte) yazma erişimi gerektirir:

  • Kullanılabilirlik kümesi
  • Yük dengeli küme
  • Uyarı kuralları

Bu kutucuklardan herhangi birine erişemiyorsanız yöneticinizden Kaynak grubu üzerinde Katkıda Bulunan erişimi isteyin.

Çözüm

Sanal makine veya kaynak grubu için yazma izinlerine sahip bir Azure yerleşik rolü atayın.

Belirti - Bazı işlev uygulaması özellikleri devre dışı bırakıldı

Kullanıcının işlev uygulamasına erişimi vardır ve bazı özellikler devre dışı bırakılır. Örneğin, bir işlev uygulamasıyla (web uygulamasına benzer) ilgili bazı ayarları görüntülemek için Platform özellikleri sekmesine ve ardından Tüm ayarlar'a tıklayabilir, ancak bu ayarların hiçbirini değiştiremezler.

Neden

Azure İşlevleri’nin bazı özellikleri yazma erişimi gerektirir. Örneğin kullanıcıya Okuyucu rolü atanırsa işlev uygulamasındaki işlevleri görüntüleyemez. Portalda (Erişim yok) iletisi görüntülenir.

İşlev uygulamalarında erişim yok

Çözüm

İşlev uygulaması veya kaynak grubu için yazma izinlerine sahip bir Azure yerleşik rolü atayın.

Aboneliği farklı bir dizine aktarma

Belirti - Abonelik aktarıldıktan sonra tüm rol atamaları silinir

Neden

Bir Azure aboneliğini farklı bir Azure AD dizinine aktardığınızda, tüm rol atamaları kaynak Azure AD dizininden kalıcı olarak silinir ve hedef Azure AD dizinine geçirilmez.

Çözüm

Rol atamalarınızı hedef dizinde yeniden oluşturmanız gerekir. Ayrıca Azure kaynakları için yönetilen kimlikleri de el ile yeniden oluşturmanız gerekir. Daha fazla bilgi için bkz. Azure aboneliğini farklı bir Azure AD dizinine aktarma ve SSS ve yönetilen kimliklerle ilgili bilinen sorunlar.

Belirti - Abonelik aktarıldıktan sonra aboneliğe erişilemiyor

Çözüm

Azure AD Genel Yöneticisiyseniz ve dizinler arasında aktarıldıktan sonra aboneliğe erişiminiz yoksa, aboneliğe erişim elde etmek üzere erişiminizi geçici olarak yükseltmek için Azure kaynakları için erişim yönetimi geçiş düğmesini kullanın.

Klasik abonelik yöneticileri

Hizmet yöneticisi veya Ortak yöneticilerle ilgili sorun yaşıyorsanız bkz. Azure aboneliği yöneticilerini ve Klasik abonelik yöneticisi rollerini, Azure rollerini ve Azure AD rollerini ekleme veya değiştirme.

Sonraki adımlar