我公司处理敏感数据并需要限制对生产环境的访问。如何组织下标和(存储)帐户以便我有单独的环境?
我可以拥有完全不同的订阅,但我想让一些开发人员有权在生产中部署,而其他人只能访问开发资产。
在我的理想世界中,我会向安全组添加个人。每当一个开发人员想要在生产上部署时,他/她将使用他/她的凭证加上额外的确认步骤,如otp。这样我就可以避免错误,但仍然保持简单的用户管理。天蓝色可能吗?
答案 0 :(得分:2)
最终您想要做的事情是可能的,并且可能在某种程度上取决于资源。随着Azure的更多功能进入预览门户(portal.azure.com),它们将显示Role Based Access Controls,这正是您要寻找的。不幸的是,现在并非所有的资源都存在,有些资源没有完整的RBAC(例如存储帐户)。
目前,最好的选择仍然是通过订阅分开。如果您需要开发人员能够执行部署,您可以创建执行部署的脚本(使用存储的PowerShell凭据或安全管理证书),然后让开发人员能够执行脚本。