この記事では、Microsoft Azure Kubernetes Service (AKS) クラスターを作成してデプロイしようとしたときに発生する LinkedAuthorizationFailed エラーを特定して解決する方法について説明します。
症状
AKS クラスターを作成しようとすると、次のエラー メッセージが表示されます。
VNet の調整に失敗しました。
詳細: VNetReconciler の再試行に失敗しました:
カテゴリ: ClientError;SubCode: LinkedAuthorizationFailed;
依存関係: Microsoft.Network/virtualNetworks; OriginalError: Code="LinkedAuthorizationFailed"
Message="クライアント '12345678-1234-1234-1234-123456789098' は、オブジェクト ID '123456789-1234-1234-1234-1234567890987' として、スコープ '/subscriptions/<subscription-id-guid>/resourceGroups/MC_MyRG_westeurope/providers/Microsoft.Network/virtualNetworks/aks-vnet' に対するアクション 'Microsoft.Network/virtualNetworks/write' を実行する権限を持っています。ただし、リンクされたスコープ '/subscriptions/<subscription-id-guid>/resourceGroups/ddos-protection-plan-rg/providers/Microsoft.Network/ddosProtectionPlans/upmddosprotectionplan' に対してアクション 'Microsoft.Network/ddosProtectionPlans/join/action' を実行する権限がないか、リンクされたスコープが無効です。"
AKSTeam: ネットワーク、Retriable: false。
原因
サービス プリンシパルには、クラスターの作成に必要なリソースを使用するためのアクセス許可がありません。
解決策
エラー メッセージに記載されているリソースを使用するためのアクセス許可をサービス プリンシパルに付与します。 「現象」セクションの出力例では、次の情報を提供します。
| アイテム | 価値 |
|---|---|
| サービス プリンシパル | 12345678-1234-1234-1234-123456789098 |
| リソース | /subscriptions/<subscription-id-guid>/resourcegroups/ddos-protection-plan-rg/providers/microsoft.network/ddosprotectionplans/upmddosprotectionplan |
| 操作 | Microsoft.Network/ddosProtectionPlans/join/action |
サービス プリンシパルにアクセス許可を付与する方法の詳細については、「 Azure portal を使用して Azure ロールを割り当てる」を参照してください。
詳細情報
お問い合わせはこちらから
ご質問がある場合は、 Azure コミュニティサポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。