我有一个资源组,其中包含逻辑应用、函数应用、机器学习工作区和 Azure 存储。客户有一组用户属于开发和管理类别。开发人员不应具有删除权限,而管理员应具有所有访问权限。我应该为每个服务创建一个角色并在资源级别分配它们吗?(这就是我现在正在做的事情)还是我应该创建 2 个角色并在资源组级别分配它们?我已经克隆了贡献者角色,并在函数应用级别添加了自定义贡献者角色的开发服务原则。所以属于开发服务原则的用户只能访问Function App。
对于资源组内部署的所有资源,是否有任何 inbuild 角色没有删除权限?
您可以通过在notActions中设置特定的资源提供者操作来创建自定义角色,并在资源组级别分配它们。
例如,如果您不希望开发人员删除存储和 Web 应用程序,您可以像这样设置自定义角色:
克隆贡献者。
放入notActions。Microsoft.Web/sites/Delete_ Microsoft.Storage/storageAccounts/delete_
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Web/sites/Delete",
"Microsoft.Storage/storageAccounts/delete"
],
创建自定义角色后,将其分配给资源组级别的开发人员。