Azure 权限 - 创建资源组所需 - RBAC
Azure Permission - needed for creating resource group - RBAC
我已将所有者角色分配给资源组。我无法创建新的资源组。
创建资源组是否需要owner/contributor角色订阅?
并且当为用户分配所有者和 Reader 角色时,哪个角色控制用户访问?
I have assigned with Owner role to a resource group. I unable to
create new resource group.
这是设计使然的行为,因为所有者权限适用于该资源组,不适用于订阅。
如果你想授予该账户创建资源组的权限,我们可以在这里设置:
将此订阅的所有者权限授予该帐户,这样该帐户将有权创建新的资源组。
注意:如果我们将此订阅的所有者权限授予该帐户,则该帐户将获得所有资源组的所有权限。
OP 请求创建新资源组所需的 RBAC 权限。 @jason-ye 建议订阅 Owner 角色。这比必要的权限更多,因此对于生产或相关环境来说不是一个好的答案。
根据 Built-in roles for Azure resources,订阅的贡献者角色足以创建所有资源,包括资源组。以下是 Contributor 角色的权限分配,“*”表示一切,有些事情被明确拒绝:
Actions
*
NotActions
Microsoft.Authorization/*/Delete
Microsoft.Authorization/*/Write
Microsoft.Authorization/elevateAccess/Action
Microsoft.Blueprint/blueprintAssignments/write
Microsoft.Blueprint/blueprintAssignments/delete
我想要一种在不向现有资源授予“*”的情况下授予“创建新资源组”的方法。
更新:基于Azure built-in [RBAC] roles,没有其他内置角色提供创建(或写入)资源组所需的权限。
但是,现在 Azure 支持 custom RBAC roles, you can create a custom role with the Microsoft.Resources resource provider operation
Microsoft.Resources/subscriptions/resourceGroups/write
这将提供最少的权限来实现所需的结果。
这样做很容易。
1) 创建一个新角色并在订阅级别分配以下权限。
一切都在订阅级别阅读,但您可以创建资源组
“*/读”,
"Microsoft.Resources/subscriptions/resourceGroups/write"
2) 在他想要管理的适当资源组中向用户分配所有者权限。
这是你如何做到的。
创建文件 newrole.json 并添加以下文本。
使用以下命令创建角色
New-AzRoleDefinition -InputFile newrole.json
{
"Name": "XXX ReadOnly",
"Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"IsCustom": false,
"Description": "Lets you view everything, Create Resource Groups but not make any changes.",
"Actions": [
"*/read",
"Microsoft.Resources/subscriptions/resourceGroups/write"
],
"NotActions": [
],
"DataActions": [
],
"NotDataActions": [
],
"AssignableScopes": [
"/subscriptions/id"
]
}
Azure 提供四个级别的范围(从高到低排序):管理组、订阅、资源组和资源。
您在任何这些范围级别应用管理设置。您 select 的级别决定了设置的应用范围。较低级别从较高级别继承设置。例如,当您将策略应用于订阅时,该策略将应用于您订阅中的所有资源组和资源。当您对资源组应用策略时,该策略将应用于资源组及其所有资源。但是,另一个资源组没有该策略分配。有关详细信息,请查看here
我已将所有者角色分配给资源组。我无法创建新的资源组。
创建资源组是否需要owner/contributor角色订阅?
并且当为用户分配所有者和 Reader 角色时,哪个角色控制用户访问?
I have assigned with Owner role to a resource group. I unable to create new resource group.
这是设计使然的行为,因为所有者权限适用于该资源组,不适用于订阅。
如果你想授予该账户创建资源组的权限,我们可以在这里设置:
将此订阅的所有者权限授予该帐户,这样该帐户将有权创建新的资源组。
注意:如果我们将此订阅的所有者权限授予该帐户,则该帐户将获得所有资源组的所有权限。
OP 请求创建新资源组所需的 RBAC 权限。 @jason-ye 建议订阅 Owner 角色。这比必要的权限更多,因此对于生产或相关环境来说不是一个好的答案。
根据 Built-in roles for Azure resources,订阅的贡献者角色足以创建所有资源,包括资源组。以下是 Contributor 角色的权限分配,“*”表示一切,有些事情被明确拒绝:
Actions
*
NotActions
Microsoft.Authorization/*/Delete
Microsoft.Authorization/*/Write
Microsoft.Authorization/elevateAccess/Action
Microsoft.Blueprint/blueprintAssignments/write
Microsoft.Blueprint/blueprintAssignments/delete
我想要一种在不向现有资源授予“*”的情况下授予“创建新资源组”的方法。
更新:基于Azure built-in [RBAC] roles,没有其他内置角色提供创建(或写入)资源组所需的权限。
但是,现在 Azure 支持 custom RBAC roles, you can create a custom role with the Microsoft.Resources resource provider operation
Microsoft.Resources/subscriptions/resourceGroups/write
这将提供最少的权限来实现所需的结果。
这样做很容易。 1) 创建一个新角色并在订阅级别分配以下权限。 一切都在订阅级别阅读,但您可以创建资源组 “*/读”, "Microsoft.Resources/subscriptions/resourceGroups/write"
2) 在他想要管理的适当资源组中向用户分配所有者权限。
这是你如何做到的。
创建文件 newrole.json 并添加以下文本。
使用以下命令创建角色
New-AzRoleDefinition -InputFile newrole.json
{
"Name": "XXX ReadOnly",
"Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"IsCustom": false,
"Description": "Lets you view everything, Create Resource Groups but not make any changes.",
"Actions": [
"*/read",
"Microsoft.Resources/subscriptions/resourceGroups/write"
],
"NotActions": [
],
"DataActions": [
],
"NotDataActions": [
],
"AssignableScopes": [
"/subscriptions/id"
]
}
Azure 提供四个级别的范围(从高到低排序):管理组、订阅、资源组和资源。
您在任何这些范围级别应用管理设置。您 select 的级别决定了设置的应用范围。较低级别从较高级别继承设置。例如,当您将策略应用于订阅时,该策略将应用于您订阅中的所有资源组和资源。当您对资源组应用策略时,该策略将应用于资源组及其所有资源。但是,另一个资源组没有该策略分配。有关详细信息,请查看here