Azure Policy 将基于角色的访问控制 (IAM) 限制为 Azure 中资源组级别的用户
Azure Policy to restrict role based access control(IAM) to users at Resource group level in Azure
我们试图在 Azure 中实施一项政策来限制基于角色的分配。我们在下面引用了 github 政策,但在测试期间我们观察到它没有评估参数中定义的 roledefinitionIds。
使用以下 roleIDs 参数进行测试 -
b24988ac-6180-42a0-ab88-20f7382dd24c(贡献者角色)
acdd72a7-3385-48ef-bd42-f606fba81ae7(Reader角色)
理想情况下,它应该将参数中定义的角色ID列入白名单,并拒绝其他角色ID的角色分配。但出于某种原因,在评估期间,Azure 策略服务未考虑参数中定义的那些角色 ID,而是限制所有角色的基于角色的分配。
需要帮助解决此问题。
您可能输入了无效的 ID。有效的角色定义 ID 如下所示:
/subscriptions/%YOUR_SUBSCRIPTION_ID%/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c
我尝试使用这个角色定义 ID 并为我工作:
/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c
如果您从 Azure 门户分配策略并希望提供多个值,则需要在值之间放置 (;) 分号。
我们试图在 Azure 中实施一项政策来限制基于角色的分配。我们在下面引用了 github 政策,但在测试期间我们观察到它没有评估参数中定义的 roledefinitionIds。
使用以下 roleIDs 参数进行测试 -
b24988ac-6180-42a0-ab88-20f7382dd24c(贡献者角色)
acdd72a7-3385-48ef-bd42-f606fba81ae7(Reader角色)
理想情况下,它应该将参数中定义的角色ID列入白名单,并拒绝其他角色ID的角色分配。但出于某种原因,在评估期间,Azure 策略服务未考虑参数中定义的那些角色 ID,而是限制所有角色的基于角色的分配。 需要帮助解决此问题。
您可能输入了无效的 ID。有效的角色定义 ID 如下所示:
/subscriptions/%YOUR_SUBSCRIPTION_ID%/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c
我尝试使用这个角色定义 ID 并为我工作:
/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c
如果您从 Azure 门户分配策略并希望提供多个值,则需要在值之间放置 (;) 分号。