Condividi tramite

Errore "Credenziali di Azure non valide fornite" durante la configurazione del server CycleCloud

  • Articolo

Questo articolo descrive come risolvere un errore "credenziali di Azure non valide fornite" che potrebbero verificarsi quando si configura un server CycleCloud.

Background

Quando si configura CycleCloud, è possibile usare l'entità servizio o le identità gestite per la gestione delle autorizzazioni. In entrambi gli scenari è necessario assegnare un ruolo Collaboratore per la sottoscrizione. Il ruolo Collaboratore è necessario per autorizzare un'entità servizio o le identità gestite a eseguire azioni di sottoscrizione, ad esempio la creazione di un account di archiviazione o la creazione di macchine virtuali.The Contributor role is required to authorize a service principal or managed identityes to take subscription actions, such as creating a storage account or creating virtual machines (VM).

Sintomi

Quando si tenta di configurare il server CycleCloud insieme a un'entità servizio o a identità gestite, viene visualizzato il messaggio di errore seguente:

Credenziali di Azure non valide fornite: il client '<tenant-guid>' con ID oggetto '<application-guid>' non dispone dell'autorizzazione per eseguire l'azione 'Microsoft.Storage/storageAccounts/read' sull'ambito '/subscriptions/<subscription-guid>' o l'ambito non è valido. Se l'accesso è stato concesso di recente, aggiornare le credenziali.

Causa

Il ruolo non è stato assegnato correttamente all'entità servizio o alle identità gestite.

Note

Il ruolo Collaboratore è l'opzione più semplice che include autorizzazioni sufficienti per la gestione delle risorse CycleCloud in una sottoscrizione, ad esempio macchine virtuali, rete e archiviazione. Tuttavia, il ruolo Collaboratore ha un livello di privilegio superiore rispetto a CycleCloud richiesto. Pertanto, è possibile usare un ruolo personalizzato in scenari più complessi. Se si sta valutando l'uso di un ruolo personalizzato, è consigliabile esaminare in modo più approfondito le definizioni dei ruoli di Azure e le azioni specifiche.

Soluzione per l'entità servizio

Configurazione dell'entità servizio

Durante la configurazione iniziale di CycleCloud, si crea un'entità servizio seguendo le istruzioni riportate in Uso dell'entità servizio. Usare un comando dell'interfaccia della riga di comando per creare l'entità servizio e assegnare un ruolo Collaboratore per la sottoscrizione.

Controllare le autorizzazioni della sottoscrizione

  1. Accedere al portale di Azure e cercare sottoscrizioni.
  2. Individuare la sottoscrizione che si vuole usare per CycleCloud (se sono elencate più sottoscrizioni).
  3. Selezionare Controllo di accesso (IAM), selezionare la scheda Assegnazioni di ruolo e quindi individuare l'elenco dei ruoli Collaboratore.
  4. Verificare che l'entità servizio (non l'utente che distribuisce CycleCLoud) non sia presente nel ruolo Collaboratore .

L'entità servizio è probabilmente mancante negli scenari che coinvolgono più utenti e tenant. Questa situazione è probabile anche se si sta provando a usare un'entità servizio esistente per lo sviluppo CycleCloud invece di crearne una nuova.

Aggiungere assegnazioni di ruolo

Prerequisiti

Per aggiungere assegnazioni di ruolo, è necessario disporre dell'autorizzazione Microsoft.Authorization/roleAssignments/write per la sottoscrizione, ad esempio Amministratore accesso utenti o Proprietario. Per impostazione predefinita, l'autorizzazione di scrittura non viene concessa a un collaboratore.

Per aggiungere un ruolo Collaboratore all'entità servizio usata per lo sviluppo CycleCloud, seguire la procedura descritta in Assegnare i ruoli di Azure usando il portale di Azure.

Soluzione per l'identità gestita

Configurazione delle identità gestite

Durante la configurazione delle identità gestite, è possibile abilitare le identità gestite durante o dopo la creazione di vm CycleCloud, come descritto in Configurare le identità gestite usando il portale di Azure.

Dopo l'abilitazione delle identità gestite, il ruolo sottoscrizione Collaboratore deve essere assegnato all'identità gestita.

Seguire questa procedura per aggiungere un ruolo Collaboratore alla sottoscrizione:

  1. Accedere al portale di Azure e individuare la macchina virtuale del server CycleCloud.
  2. Nel pannello sinistro selezionare Impostazioni>Identità.
  3. Selezionare Assegnazioni>di ruolo di Azure Aggiungi assegnazioni di ruolo e quindi selezionare Sottoscrizione e Collaboratore nel menu.
  4. La creazione della nuova assegnazione potrebbe richiedere da uno a due minuti. Dopo la creazione, assicurarsi di verificare le credenziali in CycleCloud.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.