0

在这种情况下,我在一个 Azure 租户中为多个项目托管多个资源。此外,我有多个 Azure 订阅,每个项目都有相应的资源组:

  • 项目 A 的 Azure 订阅 A -> 资源组 A -> 虚拟机、DNS、堡垒主机...
  • 项目 B 的 Azure 订阅 B -> 资源组 B -> 虚拟机、DNS、堡垒主机...
  • 项目 C 的 Azure 订阅 C -> 资源组 C -> 虚拟机、DNS、堡垒主机...

在 Azure AD 中,我想创建类似Project A、的组Project BProject C并授予他们对专用资源组的角色权限。

但不幸的是,如果我授予该角色,Contributor这还包括订阅添加新服务的权限。我只想让他们能够管理他们的资源(通过堡垒主机访问 vm),而不给他们添加新服务的权限。

4

1 回答 1

1

我们可以通过两种方式限制用户不创建资源组中的资源,

  1. 您可以向每个单独的资源授予贡献者权限,这样用户将无法创建新资源,只能修改现有资源(他将能够删除资源)。
  2. RBAC 和AzurePolicy的组合。分配了参与者访问权限的用户可以访问其资源组中的所有资源。在Azure Policy 中,您可以使用允许的资源类型、不允许的资源类型、允许的位置等策略,您可以指定组织可以部署的资源类型。

您可以在此处找到类似的场景。

于 2020-05-14T09:24:10.660 回答