Azure 组件的自定义角色
Custom roles for Azure components
我有一个资源组,其中包含逻辑应用程序、函数应用程序、机器学习工作区和 Azure 存储。客户端有一组用户属于开发和管理类别。开发人员不应该拥有删除权限,而管理员拥有所有权限。
我应该为每个服务创建一个角色并在资源级别分配它们吗? (这就是我现在正在做的)或者我应该创建 2 个角色并在资源组级别分配它们吗?
我克隆了贡献者角色,并在函数应用程序级别添加了自定义贡献者角色的开发服务原则。所以属于dev服务原则的用户只能访问Function App。
是否存在对资源组内部署的所有资源没有删除权限的inbuild角色?
您可以通过在 notActions 中设置特定的资源提供程序操作来创建自定义角色,并在资源组级别分配它们。
例如,如果您不希望开发人员删除存储和网络应用程序,您可以像这样设置自定义角色:
克隆贡献者。
将 Microsoft.Web/sites/Delete 和 Microsoft.Storage/storageAccounts/delete 放入 notActions。
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Web/sites/Delete",
"Microsoft.Storage/storageAccounts/delete"
],
创建自定义角色后,将其分配给资源组级别的开发人员。
我有一个资源组,其中包含逻辑应用程序、函数应用程序、机器学习工作区和 Azure 存储。客户端有一组用户属于开发和管理类别。开发人员不应该拥有删除权限,而管理员拥有所有权限。 我应该为每个服务创建一个角色并在资源级别分配它们吗? (这就是我现在正在做的)或者我应该创建 2 个角色并在资源组级别分配它们吗? 我克隆了贡献者角色,并在函数应用程序级别添加了自定义贡献者角色的开发服务原则。所以属于dev服务原则的用户只能访问Function App。
是否存在对资源组内部署的所有资源没有删除权限的inbuild角色?
您可以通过在 notActions 中设置特定的资源提供程序操作来创建自定义角色,并在资源组级别分配它们。
例如,如果您不希望开发人员删除存储和网络应用程序,您可以像这样设置自定义角色:
克隆贡献者。
将 Microsoft.Web/sites/Delete 和 Microsoft.Storage/storageAccounts/delete 放入 notActions。
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Web/sites/Delete",
"Microsoft.Storage/storageAccounts/delete"
],
创建自定义角色后,将其分配给资源组级别的开发人员。