问dnsZones的Azure授权失败

EN

我完全是微软Azure的新手。

我试着用他们的API来做DNS。经过很长一段时间，我终于找到了如何创建一个应用程序，以及如何获得所有所需的密钥。我还添加了权限(暂时添加了测试的所有权限)，但我有以下错误：

The client 'xxx' with object id 'xxx' does not have authorization to perform action 'Microsoft.Network/dnsZones/read' over scope '/subscriptions/xxx/resourceGroups/xxx/providers/Microsoft.Network/dnsZones/xxx'.

我认为这是一个许可问题，但我在申请中添加了所有可能的许可。我对Active Directory不太了解。

有人能帮我吗？非常感谢。

编辑：

我所做的：

创建一个应用程序: Azure Active >应用程序注册>添加>创建

添加权限: Azure Active > App注册>查看所有应用程序>我的应用程序>设置>所需权限> Windows >检查所有应用程序权限和所有委托权限>保存>授予权限

创建角色:订阅>我的订阅>访问控制(IAM) >添加>选择角色'DNS区域贡献者‘>分配给我的用户.

我做错什么了吗？