1

我的公司在 Azure 中跨多个订阅使用多种不同的产品,以及用于身份验证的 Azure Active Directory。

我希望我们的 IT 人员能够根据他们的角色访问特定类型的所有产品。例如,无论订阅或资源组如何,DBA 都应该有权访问所有 Azure SQL 数据库。

我的第一个想法是这必须作为 Azure AD 角色的一部分来完成,但我不清楚这如何适用于特定的产品类型。如果在 AD 角色之外有更好的方法,我肯定想知道更多。

之前已经发布了类似的问题(例如Azure Active Directory Groups/Roles),但我想查看是否有更新的解决方案。

4

1 回答 1

2

我不确定您的链接答案与问题有何关联。我认为你必须做两件事:

  1. 为每个 IT 角色创建 Azure Active Directory 组。您可以在 Azure Active Directory 中使用基于属性的成员资格来根据属性(例如角色)自动将成员添加到组中。

  2. 迭代您的 Azure 资源并向您的组授予所需的权限。例如。使用 PowerShell 迭代每个订阅的 Azure 资源,如果资源类型是 SQL 数据库,请授予 Azure AD 组所需的权限。

于 2018-07-26T15:54:03.293 回答