大家好,我有一个订阅,我想为人们创建“沙盒”环境。我的目标是为人们提供一个资源组,并使他们成为资源组的所有者。他们可以在这个小资源组中做任何他们想做的事情,但不能在订阅中触及它之外的任何内容。当然,他们可以部署的资源有一些限制,但就我而言,这是一个可以接受的解决方案。
我的自动化流程会创建一个 RG,然后向其中添加一些标签。谁拥有它(电子邮件)以及它的创建时间(创建日期)。 30 天后,我想检查并敬酒任何 30 天前的资源组。访问此环境是有时间限制的。我想我可以读取标签并根据标签日期删除。
我需要一种方法来防止 RG 的所有者以任何方式编辑标签。
输入自定义角色 - 资源组所有者
{
"id": "/subscriptions/<sub-guid>/providers/Microsoft.Authorization/roleDefinitions/1cae04e5-3bd2-4d8d-9c3b-ef5bd8e58408",
"properties": {
"roleName": "Resource Group Owner",
"description": "Assigned at the RG level owns everything within the RG, with the exception of editing tags.",
"assignableScopes": [
"/subscriptions/<sub-guid>"
],
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Resources/tags/write",
"Microsoft.Resources/tags/delete"
],
"dataActions": [],
"notDataActions": []
}
]
}
}
根据文档,这是正确的。我已经指定了允许的操作,然后在分配的范围(在本例中为资源组)添加了排除的操作,这些操作应该从允许的操作中减去。我不在乎他们是否可以在 RG 内的资源上添加或删除标签,我只是不想让他们弄乱 RG 标签。
将这个角色分配给用户后,他们只能看到分配给他们的订阅中的 RG,但他们仍然可以编辑分配给它的标签。
我做错了什么?
我已经研究了 Azure 蓝图的拒绝分配,但没有任何示例说明如何在任何地方创建拒绝分配。有关于属性的文档,但没有显示它在蓝图中的样子。
感谢您的帮助。
答案 0 :(得分:1)
虽然您将 Microsoft.Resources/tags/write 和 Microsoft.Resources/tags/delete 放在 notActions 中,但还有另一个资源提供者操作 Microsoft.Resources/subscriptions/resourceGroups/write 允许用户编辑标签。
您还需要将其放入 notActions。
尽管 document 声明:Microsoft.Resources/subscriptions/resourceGroups/write 是为了创建或更新资源组,但我可以在此资源组中创建任何其他 Azure 资源。
从我的测试结果来看,我认为受限的部分只是更新资源组本身。
您可以试试看是否符合您的要求。