如果用户不是贡献者或所有者,Azure 用户如何创建资源组?
How can an Azure user create a Resource Group if user is not Contributor or Owner?
我可以为用户分配什么角色以允许他们创建资源组?我不能使用所有者或贡献者,因为它们太强大了。重点是限制各种开发人员可以做什么。
例如,我们的开发团队使用数据库创建 Web 应用程序并将它们部署到 Azure。这些资源放在一个资源组中。因此,开发人员需要创建应用服务、应用服务计划、sql 数据库、应用见解和资源组。但我们不希望所有开发人员都可以访问 Azure 中的许多其他资源。这就是贡献者或所有者太强大的原因。
此外,仅供参考,我们正在致力于通过管道部署 ARM 模板,但这需要一段时间。所以与此同时,其中一些是手动完成的。
除了资源组之外,所有这一切似乎都可以使用 RBAC。
谢谢,
安迪
您可以创建一个custom role,然后分配给用户,Actions
需要包含Microsoft.Resources/subscriptions/resourceGroups/write
,您还可以包含其他操作,这取决于您的要求。
示例:
{
"Name": "Resource Group Operator",
"Id": "88888888-8888-8888-8888-888888888888",
"IsCustom": true,
"Description": "Can operate on resource groups",
"Actions": [
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId}"
]
}
我可以为用户分配什么角色以允许他们创建资源组?我不能使用所有者或贡献者,因为它们太强大了。重点是限制各种开发人员可以做什么。
例如,我们的开发团队使用数据库创建 Web 应用程序并将它们部署到 Azure。这些资源放在一个资源组中。因此,开发人员需要创建应用服务、应用服务计划、sql 数据库、应用见解和资源组。但我们不希望所有开发人员都可以访问 Azure 中的许多其他资源。这就是贡献者或所有者太强大的原因。
此外,仅供参考,我们正在致力于通过管道部署 ARM 模板,但这需要一段时间。所以与此同时,其中一些是手动完成的。
除了资源组之外,所有这一切似乎都可以使用 RBAC。
谢谢,
安迪
您可以创建一个custom role,然后分配给用户,Actions
需要包含Microsoft.Resources/subscriptions/resourceGroups/write
,您还可以包含其他操作,这取决于您的要求。
示例:
{
"Name": "Resource Group Operator",
"Id": "88888888-8888-8888-8888-888888888888",
"IsCustom": true,
"Description": "Can operate on resource groups",
"Actions": [
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscriptionId}"
]
}