1

我想拒绝创建虚拟机,但允许其他一切,包括更新它。

我创建了一个自定义 RBAC 角色来拒绝创建和允许其他内容,但是当我将磁盘附加到该 VM 时,我被拒绝了,因为我没有更新 VM 的权限。在天蓝色的 RBAC 中,“创建”同时具有创建和更新。

所以,我想允许更新并拒绝创建。有没有其他方法,比如政策之类的?

4

1 回答 1

0

现在 RBAC ( Microsoft.Compute/virtualMachines/write) 中的“创建”用于创建新虚拟机或更新现有虚拟机,如果您拒绝此权限,则用户也不允许更新 VM。

创建和更新操作在同一个权限内。我不认为我们可以拆分它。政策也不能为您做这件事。

您应该考虑将此权限分配给尽可能少的用户,以确保不容易创建 VM。

于 2020-10-01T00:50:07.397 回答