资源组的 Azure 访问控制
Azure Access Control for Resource Groups
我公司有一个供团队所有成员(所有员工)共享的订阅。
我们将此订阅用于测试、开发和生产工作负载。
我们只有一个订阅,因为它是赞助订阅,这要归功于我们的 MS 合作伙伴关系,所以我们不想创建其他订阅。
我想限制对特定资源组的访问,该资源组将托管将管理敏感数据的生产资源。
因为团队的所有成员都是订阅级别的贡献者,所以他们可以访问所有资源组,我无法将他们从资源组中删除。
那么,如果我想撤销他们对资源组的访问权限并允许他们使用所有其他资源组,我该如何进行呢?
So how can I proceed if I want to revoke their access to the resource
group and allow them to use all other resource groups?
AFAIK,唯一的方法是在订阅级别删除用户角色(贡献者),并将它们分配给每个资源组(生产资源组除外)。如果用户在订阅级别具有更高的角色(例如贡献者),则您不能在资源组级别分配较低的角色(例如 Reader)。
本质上,对于 Azure RBAC,当您在父范围授予访问权限时,这些权限会继承到子范围。
您可以在此处阅读有关 Azure RBAC 的更多信息:https://docs.microsoft.com/en-us/azure/role-based-access-control/overview#how-rbac-works。
我公司有一个供团队所有成员(所有员工)共享的订阅。 我们将此订阅用于测试、开发和生产工作负载。 我们只有一个订阅,因为它是赞助订阅,这要归功于我们的 MS 合作伙伴关系,所以我们不想创建其他订阅。
我想限制对特定资源组的访问,该资源组将托管将管理敏感数据的生产资源。 因为团队的所有成员都是订阅级别的贡献者,所以他们可以访问所有资源组,我无法将他们从资源组中删除。 那么,如果我想撤销他们对资源组的访问权限并允许他们使用所有其他资源组,我该如何进行呢?
So how can I proceed if I want to revoke their access to the resource group and allow them to use all other resource groups?
AFAIK,唯一的方法是在订阅级别删除用户角色(贡献者),并将它们分配给每个资源组(生产资源组除外)。如果用户在订阅级别具有更高的角色(例如贡献者),则您不能在资源组级别分配较低的角色(例如 Reader)。
本质上,对于 Azure RBAC,当您在父范围授予访问权限时,这些权限会继承到子范围。
您可以在此处阅读有关 Azure RBAC 的更多信息:https://docs.microsoft.com/en-us/azure/role-based-access-control/overview#how-rbac-works。