阻止 RBAC 继承
Blocking RBAC inheritance
我正在 Azure 中创建订阅,并分配了多个 RBAC 角色:托管团队和项目团队。托管团队应该可以完全访问所有内容,项目团队应该可以完全访问所有内容,除了少数例外,例如无法访问 'Networking' 资源组(尽管他们可以创建自己的包含网络的资源组)。我们在订阅级别为项目团队设置了 RBAC 所有者,但这样做也让他们能够完全管理受限区域。
原则上,Azure 门户中的 'deny' 分配可以满足我们的需求,但它们目前仅适用于 Azure 蓝图。有什么想法吗?
块继承尚不存在,您唯一的选择是仔细制作和分配自定义 rbac 角色或仔细分配内置角色(因此,从不在子级别,仅在资源组级别)。
或者使用 Azure 蓝图,他们似乎在那里添加了对此的支持。
我正在 Azure 中创建订阅,并分配了多个 RBAC 角色:托管团队和项目团队。托管团队应该可以完全访问所有内容,项目团队应该可以完全访问所有内容,除了少数例外,例如无法访问 'Networking' 资源组(尽管他们可以创建自己的包含网络的资源组)。我们在订阅级别为项目团队设置了 RBAC 所有者,但这样做也让他们能够完全管理受限区域。
原则上,Azure 门户中的 'deny' 分配可以满足我们的需求,但它们目前仅适用于 Azure 蓝图。有什么想法吗?
块继承尚不存在,您唯一的选择是仔细制作和分配自定义 rbac 角色或仔细分配内置角色(因此,从不在子级别,仅在资源组级别)。
或者使用 Azure 蓝图,他们似乎在那里添加了对此的支持。