如果用户不是贡献者或所有者,Azure 用户如何创建资源组?

How can an Azure user create a Resource Group if user is not Contributor or Owner?

我可以为用户分配什么角色以允许他们创建资源组?我不能使用所有者或贡献者,因为它们太强大了。重点是限制各种开发人员可以做什么。

例如,我们的开发团队使用数据库创建 Web 应用程序并将它们部署到 Azure。这些资源放在一个资源组中。因此,开发人员需要创建应用服务、应用服务计划、sql 数据库、应用见解和资源组。但我们不希望所有开发人员都可以访问 Azure 中的许多其他资源。这就是贡献者或所有者太强大的原因。

此外,仅供参考,我们正在致力于通过管道部署 ARM 模板,但这需要一段时间。所以与此同时,其中一些是手动完成的。

除了资源组之外,所有这一切似乎都可以使用 RBAC。

谢谢,

安迪

您可以创建一个custom role,然后分配给用户,Actions需要包含Microsoft.Resources/subscriptions/resourceGroups/write,您还可以包含其他操作,这取决于您的要求。

示例:

{
  "Name": "Resource Group Operator",
  "Id": "88888888-8888-8888-8888-888888888888",
  "IsCustom": true,
  "Description": "Can operate on resource groups",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/read"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId}"
  ]
}