跨订阅的 Azure Active Directory 角色
Azure Active Directory Roles Across Subscriptions
我的公司在多个订阅中使用 Azure 中的多个不同产品,并使用 Azure Active Directory 进行身份验证。
我希望我们的 IT 员工能够根据他们的角色访问某些类型的所有产品。例如,DBA 应该有权访问所有 Azure SQL 数据库,无论订阅或资源组如何。
我的第一个想法是,这必须作为 Azure AD 角色的一部分来完成,但我不清楚这如何应用于特定的产品类型。如果在 AD 角色之外有更好的方法,我肯定想知道更多。
之前已经发布过类似的问题(例如Azure Active Directory Groups/Roles),但我想看看是否有更新的解决方案。
我不确定您的链接答案与问题有何关联。我认为你必须做两件事:
为每个 IT 角色创建 Azure Active Directory 组。您可以在 Azure Active Directory 中使用 attribute-based membership 来根据属性(例如角色)自动将成员添加到组中。
遍历您的 Azure 资源并向您的组授予所需的权限。 例如如果资源类型为 e,则使用 PowerShell 为每个订阅迭代 Azure 资源。 G。 SQL 数据库,授予 Azure AD 组所需的权限。
我的公司在多个订阅中使用 Azure 中的多个不同产品,并使用 Azure Active Directory 进行身份验证。
我希望我们的 IT 员工能够根据他们的角色访问某些类型的所有产品。例如,DBA 应该有权访问所有 Azure SQL 数据库,无论订阅或资源组如何。
我的第一个想法是,这必须作为 Azure AD 角色的一部分来完成,但我不清楚这如何应用于特定的产品类型。如果在 AD 角色之外有更好的方法,我肯定想知道更多。
之前已经发布过类似的问题(例如Azure Active Directory Groups/Roles),但我想看看是否有更新的解决方案。
我不确定您的链接答案与问题有何关联。我认为你必须做两件事:
为每个 IT 角色创建 Azure Active Directory 组。您可以在 Azure Active Directory 中使用 attribute-based membership 来根据属性(例如角色)自动将成员添加到组中。
遍历您的 Azure 资源并向您的组授予所需的权限。 例如如果资源类型为 e,则使用 PowerShell 为每个订阅迭代 Azure 资源。 G。 SQL 数据库,授予 Azure AD 组所需的权限。