Azure 组件的自定义角色

Custom roles for Azure components

我有一个资源组,其中包含逻辑应用程序、函数应用程序、机器学习工作区和 Azure 存储。客户端有一组用户属于开发和管理类别。开发人员不应该拥有删除权限,而管理员拥有所有权限。 我应该为每个服务创建一个角色并在资源级别分配它们吗? (这就是我现在正在做的)或者我应该创建 2 个角色并在资源组级别分配它们吗? 我克隆了贡献者角色,并在函数应用程序级别添加了自定义贡献者角色的开发服务原则。所以属于dev服务原则的用户只能访问Function App。

是否存在对资源组内部署的所有资源没有删除权限的inbuild角色?

您可以通过在 notActions 中设置特定的资源提供程序操作来创建自定义角色,并在资源组级别分配它们。

例如,如果您不希望开发人员删除存储和网络应用程序,您可以像这样设置自定义角色:

克隆贡献者。

Microsoft.Web/sites/DeleteMicrosoft.Storage/storageAccounts/delete 放入 notActions

            "notActions": [
                "Microsoft.Authorization/*/Delete",
                "Microsoft.Authorization/*/Write",
                "Microsoft.Authorization/elevateAccess/Action",
                "Microsoft.Blueprint/blueprintAssignments/write",
                "Microsoft.Blueprint/blueprintAssignments/delete",
                "Microsoft.Compute/galleries/share/action",
                "Microsoft.Web/sites/Delete",
                "Microsoft.Storage/storageAccounts/delete"
            ],

创建自定义角色后,将其分配给资源组级别的开发人员。