有没有办法阻止通过策略将用户添加到 Azure 资源?
Is There a Way to Block Adding Users to Azure Resources via Policy?
有没有办法阻止通过策略将用户添加到 Azure 资源?
我的组织希望只允许将组添加到 Azure 资源而不是用户。查看内置的策略,似乎没有办法在本地限制它。那么,有没有办法通过自定义策略来做到这一点?或者通过其他方式?
感谢您提出有趣的问题:)
我认为要走的路就是像你说的那样通过政策。创建将拒绝任何用户角色分配的策略。
{
"mode": "All",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Authorization/roleAssignments"
},
{
"field": "Microsoft.Authorization/roleAssignments/principalType",
"equals": "User"
}
]
},
"then": {
"effect": "deny"
}
},
"parameters": {}
}
然后将此策略分配给您需要的订阅。
https://docs.microsoft.com/en-us/azure/templates/microsoft.authorization/roleassignments?tabs=json
有没有办法阻止通过策略将用户添加到 Azure 资源?
我的组织希望只允许将组添加到 Azure 资源而不是用户。查看内置的策略,似乎没有办法在本地限制它。那么,有没有办法通过自定义策略来做到这一点?或者通过其他方式?
感谢您提出有趣的问题:)
我认为要走的路就是像你说的那样通过政策。创建将拒绝任何用户角色分配的策略。
{
"mode": "All",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Authorization/roleAssignments"
},
{
"field": "Microsoft.Authorization/roleAssignments/principalType",
"equals": "User"
}
]
},
"then": {
"effect": "deny"
}
},
"parameters": {}
}
然后将此策略分配给您需要的订阅。