Разрешение Azure - необходимо для создания группы ресурсов - RBAC

Я назначил роль владельца группе ресурсов. Я 9X_az не могу создать новую группу ресурсов.

Для 9X_azure-management-portal создания группы ресурсов нужна ли мне роль 9X_az владельца / участника подписки?

И когда пользователю 9X_az назначаются роли владельца и читателя, какая 9X_azure-active-directory роль контролирует доступ пользователя?

9
0

azure

azure-active-directory

azure-virtual-machine

rbac

azure-management-portal
4
Общее количество ответов: 4

Ответ #1

Ответ на вопрос: Разрешение Azure - необходимо для создания группы ресурсов - RBAC

OP запрашивает разрешения RBAC, необходимые 9X_azuread для создания новой группы ресурсов. @ jason-ye 9X_az предлагает роль владельца подписки. Это 9X_azure-management-portal больше разрешений, чем необходимо, поэтому 9X_azure не подходит для производственной или связанной 9X_azure-management-portal среды.

Согласно Built-in roles for Azure resources роли участника в подписке 9X_azure-virtual-machine достаточно для создания всех ресурсов, включая 9X_azure-management-portal группы ресурсов. Ниже приведены назначения 9X_az разрешений для роли «Участник», «*» означает 9X_windows-azure все, некоторые вещи явно запрещены:

Actions  
*
NotActions  
Microsoft.Authorization/*/Delete 
Microsoft.Authorization/*/Write 
Microsoft.Authorization/elevateAccess/Action 
Microsoft.Blueprint/blueprintAssignments/write 
Microsoft.Blueprint/blueprintAssignments/delete

Я хотел 9X_windows-azure бы иметь возможность предоставить «Создать 9X_az новую группу ресурсов» без предоставления 9X_az «*» существующим ресурсам.

Обновление: на 9X_azure-active-directory основе Azure built-in [RBAC] roles нет другой встроенной роли, которая 9X_azure-active-directory предоставляет необходимые разрешения для 9X_windows-azure создания (или записи) групп ресурсов.

Однако 9X_rbac теперь, когда Azure поддерживает custom RBAC roles, вы можете 9X_rbac создать настраиваемую роль с помощью Microsoft.Resources 9X_azuread resource provider operation

Microsoft.Resources/subscriptions/resourceGroups/write

который предоставит минимум привилегий для 9X_azure-management-portal достижения желаемого результата.

28
0

Ответ #2

Ответ на вопрос: Разрешение Azure - необходимо для создания группы ресурсов - RBAC

Azure предоставляет четыре уровня области 9X_rbac действия (в порядке убывания): группы управления, подписки, группы ресурсов и ресурсы.

Вы применяете 9X_azure-active-directory настройки управления на любом из этих уровней 9X_azure-management-portal области действия. Выбранный вами уровень 9X_windows-azure определяет, насколько широко применяется 9X_rbac настройка. Нижние уровни наследуют настройки 9X_azuread от более высоких уровней. Например, когда 9X_rbac вы применяете политику к подписке, она применяется 9X_azure-virtual-machine ко всем группам ресурсов и ресурсам в вашей 9X_windows-azure подписке. Когда вы применяете политику к 9X_azure-active-directory группе ресурсов, эта политика применяется 9X_azure к группе ресурсов и всем ее ресурсам. Однако 9X_azuread другой группе ресурсов не назначена эта политика. Для получения дополнительной информации 9X_windows-azure проверьте here

3
0

Ответ #3

Ответ на вопрос: Разрешение Azure - необходимо для создания группы ресурсов - RBAC

Это довольно восточно. 1) создайте новую 9X_az роль и назначьте ее на уровне подписки с 9X_azure указанными ниже разрешениями. все читается 9X_azure-management-portal на уровне подписки, но вы можете создавать 9X_rbac группы ресурсов "*/читать", «Microsoft.Resources 9X_azuread / subscriptions / resourceGroups / write»

2) назначьте 9X_azure-active-directory пользователю права владельца в соответствующих 9X_azuread группах ресурсов, которыми он хочет управлять.

1
0

Ответ #4

Ответ на вопрос: Разрешение Azure - необходимо для создания группы ресурсов - RBAC

Вот как это сделать.

создайте файл newrole.json и добавьте 9X_azure-active-directory текст под ним.

Создайте роль с помощью команды 9X_azure-virtual-machine ниже

New-AzRoleDefinition -InputFile newrole.json

{
    "Name":  "XXX ReadOnly",
    "Id":  "acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "IsCustom":  false,
    "Description":  "Lets you view everything, Create Resource Groups but not make any changes.",
    "Actions":  [
                    "*/read",
                    "Microsoft.Resources/subscriptions/resourceGroups/write"
                ],
    "NotActions":  [
                   ],
    "DataActions":  [
                    ],
    "NotDataActions":  [
                       ],
    "AssignableScopes":  [                           
                             "/subscriptions/id"
                         ]
}

1
0