#azure #rbac #azure-policy
#azure #rbac #azure-политика
Вопрос:
У меня есть несколько групп ресурсов. Каждая группа ресурсов помечена как OwnerTeam:TeamName . Для каждой группы владельцев есть группа безопасности AD, и пользователи добавляются в эти группы.
Логический пример будет следующим:
Если группа ресурсов имеет тег OwnerTeam:DataScience, добавьте группу безопасности TeamDataScience в эту группу ресурсов в качестве участника. И так далее для других команд…Для этого я могу либо создать несколько блоков if / then в определении политики, либо создать инициативу и сгруппировать эти политики вместе для всех команд.
Вопрос в том, возможно ли это сделать с помощью определений политики Azure?
Я знаю, что это можно легко сделать с помощью сценария PowerShell, но назначение политики было бы более удобным.
Комментарии:
1. Похоже, мы не можем этого сделать. Потому что у нас нет способа получить идентификатор объекта группы безопасности в политике. Но когда мы назначаем роль с помощью шаблона arm, нам нужно указать идентификатор объекта: docs.microsoft.com/en-us/azure/templates /. …
2. @JimXu что, если я укажу идентификатор объекта в определении политики? Можно ли назначить роли rbac с помощью определения политики?
3. Если это так, вы можете использовать
DeployIfNotExistsдля запуска шаблона arm для назначения роли.4. @JimXu это имеет смысл. Я решил просто использовать powershell для этого, потому что в противном случае это будет очень сложно для того, чего я пытаюсь достичь. Спасибо вам за ваш ответ!