我想创建一个自定义角色,禁止某人查看订阅费用。例如,如果我授予某人读取权限,他就可以查看费用。我需要创建一个 RBAC 角色来禁用该视图。
答案1
为了能够禁用该功能,您需要找出查看账单数据所需的权限,然后拒绝这些权限。
最简单的方法是查看 Azure 中已定义的“账单读取者”角色。您可以通过转到任何资源上的“访问控制 (IAM)”部分来查看权限,然后单击顶部的角色按钮。找到“账单读取者”角色,单击它,然后在打开的窗口中将显示分配给该角色的提供商,单击每个提供商以查看权限
根据此处的信息,您将看到需要拒绝访问以下权限:
Microsoft.Consumption/*
Microsoft Commerce/*
Microsoft Billing/*
使用自定义角色,您有两个选择,您可以定义操作(您可以做的事情)和非操作(您不能做的事情)。因此,您可以创建一个具有所有必需权限但不包括这些计费权限的角色,或者将这些计费权限设置为非操作。
我写了一篇关于自定义角色的文章,可以提供有关此方面的更多详细信息 -https://samcogan.com/custom-azure-rbac-roles/