我想给特定 RBAC对用户来说他可以创建 NIC,但不能修改其实目的就是让他没有权限把动态ip改成静态ip,更改网卡的ip地址。
我已经检查过NIC 的 RBAC,但似乎如果他有Microsoft.Network/networkInterfaces/write允许,他可以创建网络接口或更新现有的网络接口。所以这个Rbac并不像我想要的那么详细。
我也尝试过授予所有权限,但不行Microsoft.Network/networkInterfaces/read。在这种情况下,可以创建 NIC,但我既看不到 nic 的 ip,也看不到虚拟机的 ssh/rdp。所以这对我来说不是一个解决方案。
我已经检查了内置的 Azure 策略,但没有任何东西可以满足我的需求。
任何想法?
答案1
某人不可能拥有创建资源的权限但却没有编辑它的权限,因为它全部包含在写入权限下。
最好的选择是使用 Azure Policy 定义不允许静态 IP 地址的策略。