用户应该能够读取资源组。不允许用户创建/删除资源组。
一世。我使用具有以下权限的 json 脚本创建了一个自定义角色:
Actions: Microsoft.Resources/subscriptions/resourceGroups/read NotActions: Microsoft.Resources/subscriptions/resourceGroups/write, Microsoft.Resources/subscriptions/resourceGroups/deleteii. 使用 PowerShell cmdlet New-AzureRMRoleDefinition 添加它。但是,当我将此自定义角色分配给 IAM 中的用户时,用户仍然能够创建/删除资源组。
注意:我使用过 Azure 的 RBAC 和 IAM 服务