Azure 資源適用受控身分識別的已知問題
本文討論受控識別的幾個問題,以及如何解決這些問題。 關於受控識別的常見問題記載於我們的常見問題一文中。
VM 在移動之後無法啟動
如果您從資源群組或訂用帳戶將 VM 處於執行中狀態,VM 會在移動期間繼續執行。 不過,移動之後,如果 VM 停止並重新啟動,則會無法啟動。 發生此問題的原因是 VM 未更新受控身分識別參考,並且繼續使用過期的 URI。
因應措施
觸發虛擬機器上的更新,如此一來就可以為 Azure 資源適用受控識別取得正確的值。 您可以變更虛擬機器屬性,以更新 Azure 資源適用受控識別身分識別的參照。 例如,您可以使用下列命令在 VM 上設定新的標記值:
az vm update -n <VM Name> -g <Resource Group> --set tags.fixVM=1
此命令會在 VM 上設定值為 1 的新標記 "fixVM"。
設定此屬性後,虛擬機器會透過正確的 Azure 資源適用受控識別 URI 進行更新,之後您應該就可以啟動虛擬機器了。
一旦啟動 VM 後,您可以使用下列命令移除標記:
az vm update -n <VM Name> -g <Resource Group> --remove tags.fixVM
在 Microsoft Entra 目錄之間移轉訂用帳戶
訂用帳戶移動/轉移至另一個目錄時,不會更新受控身分識別。 因此,系統指派或使用者指派的任何現有受控身分識別都會中斷。
在已移至另一個目錄的訂用帳戶中,受控識別的因應措施:
- 若為系統指派的受控識別:停用然後重新啟用。
- 若為使用者指派的受控識別:刪除、重新建立,然後重新連結至所需的資源 (例如虛擬機器)
如需詳細資訊,請參閱將 Azure 訂用帳戶轉移至不同的 Microsoft Entra 目錄。
受控識別指派作業期間的錯誤
在少數情況下,可能會出現錯誤訊息,指出以 Azure 資源指派受控識別時的相關錯誤。 其中部分範例錯誤訊息如下所示:
- Azure 資源「azure-resource-id」無權存取身分識別「managed-identity-id」。
- 沒有受控服務身分識別與資源「azure-resource-id」相關聯
因應措施在此類少見情況下,最理想的後續步驟如下
- 針對不必再指派給資源的身分識別,將其從資源中刪除。
- 針對使用者指派的受控識別,將身分識別重新指派 Azure 資源。
- 針對系統指派的受控識別,停用然後重新啟用身分識別。
注意
若要指派/取消指派受控識別,請遵循下列連結