Azure所有者角色无法创建资源组_Azure_Azure Cli_Azure Resource Group

Azure所有者角色无法创建资源组

azure

Azure所有者角色无法创建资源组,azure,azure-cli,azure-resource-group,Azure,Azure Cli,Azure Resource Group,我在雇主的Azure订阅中被分配了所有者角色。他能够创建资源组，但我不能。我们都想知道为什么，因为我已经被分配为所有者，除了订阅级别之外的最高角色当我尝试使用azgroupcreate--name myGroup-l southerasia命令时，它的响应是 The client 'live.com#<myAccount>@outlook.com' with object id '<object ID>' does not have authorization to p

我在雇主的Azure订阅中被分配了所有者角色。他能够创建资源组，但我不能。我们都想知道为什么，因为我已经被分配为所有者，除了订阅级别之外的最高角色

当我尝试使用

azgroupcreate--name myGroup-l southerasia

命令时，它的响应是

The client 'live.com#<myAccount>@outlook.com' with object id '<object ID>'
does not have authorization to perform action 'Microsoft.Resources/subscriptions/
resourcegroups/write' over scope '/subscriptions/<subscription>/resourcegroups/<myGroup>'.

对象id为“”的客户端“live.com#@outlook.com”
没有执行操作“Microsoft.Resources/subscriptions”的权限/
resourcegroups/写入“超出范围”//订阅//resourcegroups/”。

编辑：我没有订阅级别的资源

好吧，错误清楚地表明您对范围没有权限，因此，您可能是错误sub的所有者，或者您的角色专门限制了该sub。

注意：此问题更可能发生在较新的订阅中，并且通常发生在以前从未在该订阅中创建过某个资源类型的情况下

订阅管理员通常通过授予资源组所有者订阅级别的参与者权限来解决此问题，这与他们将访问隔离到资源组级别而不是订阅级别的策略相矛盾

有关根本原因和快速解决方法，请参阅“

您的租户中是否有多个订阅？如果有，您应该设置它

##list subscription
az account list --output table

##change the active subscription
az account set --subscription "My Demos"

如果您只有一个订阅，我建议您可以创建一个sp，然后使用该sp创建一个新的资源组。请参见此

更新：

您应该在订阅级别授予

所有者

角色，根据您的屏幕截图，您在资源组角色上授予

所有者

角色，您只能在资源组中创建资源。您也不能创建新的资源组。您应该为您的订阅授予

所有者

角色，如下所示：

该作用域甚至还没有创建，我正在创建该资源组，以便该作用域不会提前授权给我。订阅是作用域。嗨，如果您使用此帐户登录Azure门户，您可以创建一个资源组吗？您可以在门户中看到订阅吗？我可以在门户中看到订阅刀片，但我未经授权est您可以在您雇主的帐户中重新分配

所有者

角色。如果可能，您可以显示错误屏幕截图。此外，如果可能，您可以创建sp以创建资源组和资源。请参阅我的答案。您应该这样查看您的订阅我不拥有订阅，它是我雇主的。我会要求他为我提供订阅的所有权帽子级别，但如果这允许我访问所有内容，他可能会犹豫。即使我的所有权在订阅级别，他仍然可以限制我在帐户中可以做什么吗？@JohnStephen.19您想创建什么资源？1.您可以让您的雇主先创建资源组，然后再在其中创建资源。您无需创建资源组oup.@JohnStephen.19第二个解决方案您可以创建自定义角色来管理订阅。看到这一点，我的老板接受了第二个解决方案，但我们还没有这样做。我相信他没有时间这么做，只要他能给我创建自定义角色的授权并首先分配。无论如何，谢谢你的博客链接显示了在订阅级别授予参与者是如何过度/不必要的