Azure 权限 - 创建资源组所需 - RBAC

Question

我已将所有者角色分配给资源组。我无法创建新的资源组。

对于创建资源组，我是否需要所有者/贡献者角色来订阅？

当一个用户被分配了 Owner 和 Reader 角色时，哪个角色控制用户访问？

Answer 1

OP 要求提供创建新资源组所需的 RBAC 权限。@jason-ye 建议订阅所有者角色。这比必要的权限多，因此对于生产或相关环境来说不是一个好的答案。

根据Azure 资源的内置角色，订阅中的参与者角色足以创建所有资源，包括资源组。以下是 Contributor 角色的权限分配，“*”表示一切，有些事情被明确拒绝：

Actions  
*
NotActions  
Microsoft.Authorization/*/Delete 
Microsoft.Authorization/*/Write 
Microsoft.Authorization/elevateAccess/Action 
Microsoft.Blueprint/blueprintAssignments/write 
Microsoft.Blueprint/blueprintAssignments/delete 

我想要一种授予“创建新资源组”而不授予“*”现有资源的方法。

更新：基于Azure 内置 [RBAC] 角色，没有其他内置角色提供创建（或写入）资源组所需的权限。

但是，既然 Azure 支持自定义 RBAC 角色，您可以使用 Microsoft.Resources资源提供程序操作创建自定义角色

Microsoft.Resources/subscriptions/resourceGroups/write 

这将提供最少的特权来实现预期的结果。

Answer 2

我已将所有者角色分配给资源组。我无法创建新的资源组。

这是设计使然的行为，因为所有者权限适用于该资源组，而不适用于订阅。

如果你想给该账户授予创建资源组的权限，我们可以在这里设置：

将此订阅的所有者权限授予该帐户，这样该帐户将有权创建新的资源组。

注意：如果我们将此订阅的所有者权限授予该帐户，则该帐户将获得所有资源组的所有权限。