Azure 資源適用受控身分識別的已知問題
本文討論關於受控識別的幾個問題,以及如何解決這些問題。 關於受控識別的常見問題記載于 常見問題 一文中。
VM 在移動後無法啟動
如果您從資源群組或訂用帳戶移動處於執行中狀態的 VM,則會在移動期間繼續執行。 不過,移動之後,如果 VM 停止並重新啟動,它就無法啟動。 發生此問題的原因是 VM 不會更新受控識別參考,而且會繼續使用過期的 URI。
因應措施
在 VM 上觸發更新,以便為 Azure 資源的受控識別取得正確的值。 您可以執行 VM 屬性變更,以更新 Azure 資源身分識別受控識別的參考。 例如,您可以使用下列命令在 VM 上設定新的標籤值:
az vm update -n <VM Name> -g <Resource Group> --set tags.fixVM=1
此命令會在 VM 上設定值為 1 的新標籤 「fixVM」。
藉由設定此屬性,VM 會以正確的 Azure 資源 URI 受控識別進行更新,然後您應該能夠啟動 VM。
VM 啟動之後,可以使用下列命令來移除標記:
az vm update -n <VM Name> -g <Resource Group> --remove tags.fixVM
在 Microsoft Entra 目錄之間轉移訂用帳戶
訂用帳戶移動/轉移至另一個目錄時,不會更新受控身分識別。 因此,系統指派或使用者指派的任何現有受控身分識別都會中斷。
在已移至另一個目錄的訂用帳戶中,受控識別的因應措施:
- 若為系統指派的受控識別:停用然後重新啟用。
- 針對使用者指派的受控識別:刪除、重新建立,並將其再次附加至必要的資源(例如虛擬機器)
如需詳細資訊,請參閱將 Azure 訂用帳戶轉移至不同的 Microsoft Entra 目錄。
受控識別指派作業期間發生錯誤
在罕見的情況下,您可能會看到錯誤訊息,指出使用 Azure 資源指派受控識別的相關錯誤。 其中一些範例錯誤訊息如下所示:
- Azure 資源 'azure-resource-id' 無法存取身分識別 'managed-identity-id'。
- 沒有任何受控服務識別與資源 'azure-resource-id' 相關聯
因應措施 在這些罕見情況下,最好的後續步驟是
- 針對不再需要指派給資源的身分識別,請從資源中移除它們。
- 針對 [使用者指派的受控識別],將身分識別重新指派給 Azure 資源。
- 針對 [系統指派的受控識別],請停用身分識別,然後再次加以啟用。
注意
若要指派/取消指派受控識別,請遵循下列連結
下一步
您可以檢閱我們的文章,列出 支援受控識別 的服務,以及常見問題