Partilhar via

Erro "Credenciais inválidas do Azure fornecidas" ao configurar o servidor CycleCloud

  • Artigo

Este artigo descreve como resolver um erro de "credenciais inválidas do Azure fornecidas" que pode ocorrer quando você configura um servidor CycleCloud.

Tela de fundo

Ao configurar o CycleCloud, você pode usar a Entidade de Serviço ou as Identidades Gerenciadas para gerenciamento de permissões. Em qualquer cenário, você deve atribuir uma função de Colaborador para a assinatura. A função Colaborador é necessária para autorizar uma entidade de serviço ou identidades gerenciadas a executar ações de assinatura, como criar uma conta de armazenamento ou criar VMs (máquinas virtuais).

Sintomas

Ao tentar configurar o servidor CycleCloud junto com uma entidade de serviço ou identidades gerenciadas, você recebe a seguinte mensagem de erro:

Credenciais inválidas do Azure fornecidas: o cliente '<tenant-guid>' com a ID de objeto '<application-guid>' não tem autorização para executar a ação 'Microsoft.Storage/storageAccounts/read' no escopo '/subscriptions/<subscription-guid>' ou o escopo é inválido. Se o acesso foi concedido recentemente, atualize suas credenciais.

Motivo

A função não foi atribuída corretamente à entidade de serviço ou às identidades gerenciadas.

Observação

A função Colaborador é a opção mais simples que inclui permissões suficientes para o gerenciamento de recursos do CycleCloud em uma assinatura, como VMs, rede e armazenamento. No entanto, a função Colaborador tem um nível de privilégio mais alto do que o CycleCloud exige. Portanto, você pode usar uma função personalizada em cenários mais complexos. Se você estiver pensando em usar uma função personalizada, recomendamos que você dê uma olhada mais profunda nas definições de função do Azure e nas ações específicas.

Solução para entidade de serviço

Configuração da entidade de serviço

Durante a configuração inicial do CycleCloud, você cria uma entidade de serviço seguindo as instruções em Usando a entidade de serviço. Use um comando da CLI para criar a entidade de serviço e atribuir uma função de Colaborador para a assinatura.

Verificar permissões de assinatura

  1. Faça logon no portal do Azure e pesquise em Assinaturas.
  2. Localize a assinatura que você deseja usar para o CycleCloud (se mais de uma assinatura estiver listada).
  3. Selecione Controle de Acesso (IAM), selecione a guia Atribuições de função e localize a lista de funções Colaborador .
  4. Verifique se a entidade de serviço (não o usuário que está implantando o CycleCLoud) está ausente da função Colaborador .

É mais provável que a entidade de serviço esteja ausente em cenários que envolvem vários usuários e locatários. Essa situação também é provável se você estiver tentando usar uma entidade de serviço existente para o desenvolvimento do CycleCloud em vez de criar uma nova.

Adicionar atribuições de função

Pré-requisitos

Para adicionar atribuições de função, você deve ter a permissão Microsoft.Authorization/roleAssignments/write para a assinatura, como Administrador de Acesso do Usuário ou Proprietário. Por padrão, a permissão de gravação não é concedida a um Colaborador.

Para adicionar uma função de Colaborador à entidade de serviço que está sendo usada para o desenvolvimento do CycleCloud, siga as etapas em Atribuir funções do Azure usando o portal do Azure.

Solução para identidade gerenciada

Configuração de identidades gerenciadas

Ao configurar identidades gerenciadas, você habilita identidades gerenciadas durante ou após a criação da VM do CycleCloud, conforme descrito em Configurar identidades gerenciadas usando o portal do Azure.

Depois que as identidades gerenciadas forem habilitadas, a função de assinatura Colaborador deverá ser atribuída à identidade gerenciada.

Siga estas etapas para adicionar uma função de Colaborador à assinatura:

  1. Faça logon no portal do Azure e localize a VM do servidor CycleCloud.
  2. No painel esquerdo, selecione Configurações>Identidade.
  3. Selecione Atribuições de função do>Azure Adicionar atribuições de função e, em seguida, selecione Assinatura e Colaborador no menu.
  4. Pode levar de um a dois minutos para que a nova atribuição seja criada. Depois de criada, verifique a credencial no CycleCloud.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.