#azure #azure-functions #azure-rbac #azure-role-environment
Вопрос:
У меня есть группа ресурсов, содержащая приложение логики, Приложение функций, рабочую область машинного обучения и хранилище Azure. У клиентов есть набор пользователей, подпадающих под категорию разработчиков и администраторов. разработчики не должны иметь доступа к удалению, а администратор должен иметь весь доступ. Должен ли я создать роль для каждой службы и назначить их на уровне ресурсов? (Это то, что я делаю прямо сейчас) или мне следует создать 2 Роли и назначить их на уровне группы ресурсов? Я клонировал роль участника и добавил принцип службы разработки с пользовательской ролью участника на уровне приложения функций. Таким образом, пользователи, подпадающие под принцип службы разработки, могут получить доступ только к функциональному приложению.
Существует ли какая-либо встроенная роль без разрешения на удаление для всех ресурсов, развернутых внутри группы ресурсов?
Комментарии:
1. Пожалуйста, отредактируйте свой вопрос и укажите, что все, что может сделать разработчик (мы знаем, что они не могут удалять ресурсы).
Ответ №1:
Вы можете создать пользовательскую роль, указав конкретные операции поставщика ресурсов в notActions, и назначить их на уровне группы ресурсов.
Например, если вы не хотите, чтобы разработчики удаляли хранилище и веб-приложение, вы можете настроить пользовательскую роль следующим образом:
Клонируйте участника.
Положите Microsoft.Web/sites/Delete
и Microsoft.Storage/storageAccounts/delete
в нотации.
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Web/sites/Delete",
"Microsoft.Storage/storageAccounts/delete"
],
После создания пользовательской роли назначьте ее разработчикам на уровне группы ресурсов.