Mad*_*ati 3 azure azure-resource-manager azure-rbac
如何限制用户访问特定资源组?
例如,我的订阅中有 10 个资源组,用户只能访问其中 3 个资源组,用户可以在其中执行其操作。
当您为 Azure 创建新用户时,他们对任何订阅都没有任何权限,登录门户将显示一个没有资源的空视图。
如果您为该用户添加读者权限,他们将能够读取订阅中的任何资源,但不能修改任何内容。正如预期的那样。拥有订阅的读者权限后,他们无法创建任何内容、资源组或其他内容。
如果该用户仅被授予对资源组的权限,而没有对订阅的权限,那么他们将只能看到他们拥有权限的资源组。然后,他们将拥有在该组中被授予的任何权限。
在表面之下,每个贡献者和读者角色都具有操作"Microsoft.Resources/subscriptions/resourceGroups/read",这意味着具有任何贡献者或读者角色的任何人都可以查看所有资源组。
没有明确定义resourceGroups/write或resourceGroups/*权限的内置角色。
唯一隐式应用该权限的组是已"*"应用的贡献者和所有者。
这意味着只有贡献者和所有者才能在订阅中创建资源组。
可以创建一个拒绝的自定义角色resourceGroup/write
因此,要回答您的问题,要限制用户只能查看特定资源组,请确保他们在订阅级别没有任何访问权限(此级别的任何访问权限都将允许他们查看资源组) ,并且仅将权限应用于您希望他们查看的资源组。
| 归档时间: |
|
| 查看次数: |
8802 次 |
| 最近记录: |