如何在没有订阅权限的情况下授予对资源组的访问权限以部署服务？

Question

在这种情况下，我将在一个蔚蓝的租户中为多个项目托管多个资源。 另外，我有多个Azure订阅，每个项目具有相应的资源组：

• Azure订阅A->资源组A->项目A的VM，DNS，堡垒主机...
• Azure订阅B->资源B组->项目B的VM，DNS，堡垒主机...
• Azure订阅C->资源组C->项目C的VM，DNS，堡垒主机...

在Azure AD中，我想创建诸如Project B，Project C，Contributor之类的组，并将其角色权限授予专用资源组。

但是不幸的是，如果我授予角色{{1}}，这还包括订阅的许可以添加新服务。我只想让他们管理他们的资源（通过堡垒主机访问虚拟机），而无需给予他们添加新服务的权限。

Answer 1

我们可以通过两种方式限制用户不要在资源组中创建资源，

1. 您可以为每个单独的资源授予贡献者权限， 这样用户将无法创建新资源，只能进行修改 现有的（他将能够删除资源）。
2. RBAC和AzurePolicy的组合。具有 分配的参与者访问权限可以访问其资源中的所有资源 资源组。在Azure Policy中，您可以使用类似 允许的资源类型，不允许的资源类型，允许的位置 将使您能够指定组织的资源类型 可以部署。

您可以find here进行类似的操作。