Я хочу получить доступ к учетной записи хранения, находящейся в клиенте Azure AD (например, с идентификатором клиента T1) из подсети (например, S1), находящейся в другом клиенте Azure AD (например, с идентификатором клиента T2). Используя Azure CLI, я смог добавить эту существующую вентиляцию / подсеть на вкладку Брандмауэры и виртуальные сети учетной записи хранения.
AZ CLI: az storage account network-rule add -g myRG --account myAccount --subnet mySubnetId
Но в Статусе конечной точки этой подсети указано Недостаточно разрешений вместо Включено. Следовательно, невозможно получить доступ к этой учетной записи хранения из добавленной подсети S1.
Ошибка: Unable retrieve endpoint status for one or more subnets. Status 'insufficient permissions' indicates lack of subnet read permissions ('Microsoft.Network/virtualNetworks/subnets/read').
Подробная ошибка:
You do not have authorization to access this resource.
Resource ID: /subscriptions/****/resourceGroups/my-network-rg/providers/Microsoft.Network/virtualNetworks/my-vnet
Status Code: 401
Status Message: The access token is from the wrong issuer 'https://sts.windows.net/T1/'. It must match the tenant 'https://sts.windows.net/T2/' associated with this subscription. Please use the authority (URL) 'https://login.windows.net/T2' to get the token. Note, if the subscription is transferred to another tenant there is no impact to the services, but information about new tenant could take time to propagate (up to an hour). If you just transferred your subscription and see this error message, please try back later.
Какие необходимые разрешения для нескольких клиентов мне не хватает? Как их предоставить? Любая помощь приветствуется. Хотя это может быть тривиально, поскольку я новичок в Azure, я не уверен, что мне здесь не хватает. Спасибо.
https://login.microsoftonline.com/{tenant 2 id}/oauth2/v2.0/token
. - person Carl Zhao   schedule 05.04.2021