我需要概述为客户创建一些 Azure 资源所需的权限。其不太可能我将被分配提升的权限,例如资源组或订阅我的资源将存放在哪里。在我发送任何内容并可能弄错我的角色/权限之前,我有几个问题需要澄清:
- 为了部署或读取资源组中的资源,用户是否需要首先分配订阅上的角色/权限该资源组位于何处?
- 如果用户被分配了 R订阅的读者角色他们被分配了资源组的所有者角色他们能够在 RG 中创建/部署资源,或者订阅上的读者角色是否优先?
计划是部署 Web 应用程序、应用程序洞察和 Azure SQL 数据库。我将拥有更高的权限来开始(就像我假设的贡献者一样),但一旦完成,这些权限就会减少。我需要确保我有足够的权限进行部署,也有足够的权限来随后查看应用洞察仪表板和报告以防出现问题。
如能得到任何帮助/澄清,我们将不胜感激!
答案1
要读取或创建资源组中的资源,您不需要订阅范围的权限;它们也可以仅在资源组级别应用。
无论范围是广还是窄,优先的角色就是最高角色。
如果您是群组或订阅的贡献者,则可以在群组中创建资源。如果您是群组中的读者,也是订阅中的贡献者,则也可以创建资源。
订阅范围更广,适用于其中的所有资源组,但组中的读者不适用于订阅中的任何其他内容。