我有一个 Azure 订阅,用户需要在资源组级别获得访问权限,以便他们可以创建新资源。但是我需要限制他们可以执行的操作。他们需要能够在其资源组中创建 VM,但不能创建 vNet。(我们试图实现的是限制他们创建 vNet,以防止在环境中创建新的入口点)。
允许在资源组级别授予权限以执行“安全”操作(创建 VM)但限制“不安全”操作(创建具有公共 IP 的 vNet)的最佳方法是什么?
谢谢!
答案1
Azure 基于角色的访问控制 (RBAC) 可实现 Azure 的细粒度访问管理。使用 RBAC,您可以仅授予用户执行其工作所需的访问权限。本文可帮助您在 Azure 门户中启动和运行 RBAC。如果您想了解有关 RBAC 如何帮助您管理访问权限的更多详细信息,请参阅什么是基于角色的访问控制:https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-what-is
Azure RBAC 具有三个适用于所有资源类型的基本角色:
所有者拥有所有资源的完全访问权限,包括将访问权限委托给他人的权利。贡献者可以创建和管理所有类型的 Azure 资源,但不能授予其他人访问权限。读者可以查看现有的 Azure 资源。
如果没有任何内置角色满足你的特定访问需求,请在 Azure 基于角色的访问控制 (RBAC) 中创建自定义角色。参考:https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-custom-roles