如何限制用户访问特定资源组?
例如,我在订阅中有 10 个资源组,用户应该只能访问其中的 3 个资源组,用户可以在其中进行操作。
问问题
5832 次
3 回答
5
当您为 Azure 创建新用户时,他们对任何订阅都没有任何权限,登录门户将显示一个没有资源的空视图。
如果您为该用户添加读者权限,他们将能够读取订阅中的任何资源,但不能修改任何内容。正如预期的那样。在订阅的读者许可下,他们不能创建任何东西、资源组或其他内容。
如果该用户仅被授予资源组的权限,而没有订阅权限,那么他们将只能看到他们拥有权限的资源组。然后,他们将拥有在该组中被授予的任何权限。
在表面之下,每个贡献者和读者角色都有"Microsoft.Resources/subscriptions/resourceGroups/read"操作,这意味着任何具有任何贡献者或读者角色的人都可以看到所有资源组。
没有明确定义resourceGroups/write或resourceGroups/*许可的内置角色。
隐式应用该权限的唯一组是已应用的贡献者和所有者"*"。
这意味着只有贡献者和所有者才能在订阅中创建资源组。
可以创建拒绝的自定义角色resourceGroup/write
因此,要回答您的问题,将用户限制为只能查看特定资源组,请确保他们在订阅级别没有任何访问权限(此级别的任何访问权限都将允许他们查看资源组) ,并且仅将权限应用于您希望他们看到的资源组。
于 2018-03-29T16:36:49.043 回答
2
例如,我在订阅中有 10 个资源组,用户应该只能访问其中的 3 个资源组,用户可以在其中进行操作。
通过以下步骤可以实现上述目标
将用户添加到订阅。不要为此用户分配订阅级别的任何角色。
通过角色分配将用户作为参与者添加到选定的三个资源组(在访问控制 (IAM) 中)属性。
以上两种配置将使得用户只能对显式的三个资源组进行查看和操作,其他资源组不会出现在 Azure 门户中。
最佳实践是将用户添加到安全组并将安全组分配给角色。
于 2019-12-13T08:36:48.907 回答
2
将用户添加到这些资源组中的参与者角色。
转到资源组,然后打开访问控制 (IAM),并将用户添加到贡献者角色。对每个资源组重复。
于 2018-03-29T11:17:52.343 回答