问题标签 [azure-rbac]

我有大约 100 个使用 Azure PowerShell 和 CLI 创建的 Azure Web 应用程序和 Azure 函数，现在我需要将这些 Web 应用程序的所有者访问权限分配给用户（每个 Web 应用程序的单独用户）

我找不到任何示例，大多数示例都指向分配资源组级别访问权限，而不是特定资源。

该任务可在 Azure 门户中实现，只需 PowerShell 或 CLI 命令为用户分配这些特定资源的所有者或贡献者权限。

如果可能，请提供示例命令

我在 godaddy 的 azure admin 电子邮件帐户，但出于“原因”，此电子邮件已从 godaddy 服务器中删除，问题解决后，我能够创建一个新帐户，使用与 azure admin 相同的凭据，它工作，我可以再次登录到我的 azure 帐户，但是，我的所有资源（应用程序、数据库、服务等）都不再列出，但它们仍然工作，现在我必须做一些维护，我可以'无法访问...有人可以帮忙吗？

谢谢！

我正在尝试以最低权限锁定我的 Azure 服务主体。这可以通过创建自定义角色来完成。但是在定义自定义角色时，我如何知道给定任务需要哪些操作？例如，如果自动化帐户需要在 powershell 脚本（、、、等）中运行多个 AzureRm cmdlet，我如何找出每个命令执行的“操作”？Get-AzureKeyVaultSecretNew-AzureRmContainerGroupGet-AzureRmContext

Get-AzureRMProviderOperation *列出所有可用的操作（当前呈现 2969 的列表 - 一个稍微压倒性的数字来排序）。我如何确定我需要哪些？

我已经查看了用户在逻辑应用方面可以拥有的所有权限，但我仍然无法回答我的问题。是否可以限制用户在 Azure 逻辑应用中使用某个连接器？例如，假设我希望用户仅使用 Outlook/Office 365 连接器。这可能吗？

我试图了解如何在 azure 容器中运行 python 应用程序，该应用程序可以启动各种资源，如 VM、Azure 资源组内的路由表。

http://azure-sdk-for-python.readthedocs.io/en/latest/

看起来像 azure python sdk 中提供的示例设置了身份验证内容，例如凭据、订阅 ID 等。

有没有办法通过使用基于角色的访问控制来避免设置这些信息？如果我为容器提供对资源组的 Contributor 访问权限，在这种情况下，我是否能够避免设置身份验证变量并仍然实现在资源组中创建资源或至少读取/访问资源？

1. 用户应该能够读取资源组。不允许用户创建/删除资源组。

   一世。我使用具有以下权限的 json 脚本创建了一个自定义角色：

   ii. 使用 PowerShell cmdlet New-AzureRMRoleDefinition 添加它。但是，当我将此自定义角色分配给 IAM 中的用户时，用户仍然能够创建/删除资源组。

注意：我使用过 Azure 的 RBAC 和 IAM 服务

如何限制用户访问特定资源组？

例如，我在订阅中有 10 个资源组，用户应该只能访问其中的 3 个资源组，用户可以在其中进行操作。

我想使用 GraphAPI 列出组的角色分配。但我只看到一个列出整个角色分配的API 。
我试图通过resourceScopes/scopeMembersusing$filter子句进行过滤，但它不起作用。

我应该自己过滤整个列表还是有其他方法可以做到这一点？

我正在尝试为我们的运营团队授予对包含日志文件的存储帐户的只读访问权限。我希望能够赋予他们枚举容器和读取 blob 的权利。理想情况下，这将是他们的访问范围。

预览中有几个看起来很有希望的 RBAC 角色：

• 存储 Blob 数据读取器（预览版）被描述为“允许对 Azure 存储 Blob 容器和数据的读取访问”，这听起来与我所追求的完全一样
• 存储 Blob 数据贡献者（预览版）听起来像是对 Blob 帐户的读/写

然而，这些角色都不适合我。操作组无法使用 Azure 存储资源管理器或 Web 来检查 blob 内容。看起来这些角色不提供对关键 API 的访问。

我想知道我希望做的事情和新的预览角色提供的东西之间的差距在哪里。我可以在不在租户中定义自定义角色的情况下完成此操作吗？

如果可能，我希望用户拥有对策略合规性的只读访问权限，但我似乎无法弄清楚他们需要哪些权限。我查看了策略权限，他们对策略具有读取权限，但仍然无法读取合规性。