我的公司有一个订阅,该订阅是为团队的所有成员(所有员工)共享的。我们将此订阅用于测试、开发和生产工作负载。我们只有一个订阅,因为由于我们的 MS 合作伙伴关系,它是赞助订阅,所以我们不想创建其他订阅。
我想限制对特定资源组的访问,该资源组将托管将管理敏感数据的生产资源。因为团队的所有成员都是订阅级别的参与者,所以他们可以访问所有资源组,我无法将他们从资源组中删除。那么,如果我想撤销他们对资源组的访问权限并允许他们使用所有其他资源组,我该如何进行呢?
问问题
716 次
1 回答
2
那么,如果我想撤销他们对资源组的访问权限并允许他们使用所有其他资源组,我该如何进行呢?
AFAIK,这样做的唯一方法是在订阅级别删除用户角色(贡献者)并在每个资源组(生产资源组除外)中分配它们。如果用户在订阅级别具有更高的角色(例如贡献者),那么您不能在资源组级别分配较低的角色(例如读者)。
本质上,使用 Azure RBAC,当您在父范围授予访问权限时,这些权限将继承到子范围。
您可以在此处阅读有关 Azure RBAC 的更多信息:https ://docs.microsoft.com/en-us/azure/role-based-access-control/overview#how-rbac-works 。
于 2019-05-26T13:47:35.357 回答