我可以为允许他们创建资源组的用户分配什么角色?我不能使用所有者或贡献者,因为它们太强大了。重点是限制各种开发人员可以做的事情。
例如,我们的开发团队使用数据库创建 Web 应用程序并将它们部署到 Azure。这些资源被放在一个资源组中。所以开发者需要创建应用服务、应用服务计划、sql db、应用洞察和资源组。但我们不希望所有开发人员都可以访问 Azure 中的许多其他资源。这就是贡献者或所有者太强大的原因。
另外,仅供参考,我们正在努力通过管道部署 ARM 模板,但这需要一段时间。因此,与此同时,其中一些是手动完成的。
除了资源组之外,所有这一切似乎都可以通过 RBAC 实现。
谢谢,
安迪
您可以创建一个自定义角色,然后分配给用户,Actions需要包括Microsoft.Resources/subscriptions/resourceGroups/write,您还可以包括其他操作,这取决于您的要求。
样品:
{
"Name": "Resource Group Operator",
"Id": "88888888-8888-8888-8888-888888888888",
"IsCustom": true,
"Description": "Can operate on resource groups",
"Actions": [
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId}"
]
}