是否有办法在ARM中创建策略,以限制DEV组中的用户在ResourceGroup of Production中创建资源。目前v已将一些用户添加到生产资源组,但我们希望限制它们创建任何资源或修改任何资源或删除资源。是否可以通过Policy获取别名或Distribution Group来验证并允许对此prod RG执行任何操作。
答案 0 :(得分:1)
Haven尚未通过政策管理任何先进的内容。通常只能通过在Reader角色中分配的prod资源组访问权来实现。从治理角度来看,您始终可以编写Azure自动化脚本,定期检查每个组中的用户,并将任何Dev用户降级为prod资源组的Reader。
答案 1 :(得分:1)
ARM策略用于执行诸如限制在特定数据中心/区域中创建资源或限制资源创建(如果它们不包含任何特定标记)的操作。
我能想到的最佳方法是为添加到Prod RG的用户使用RBAC,以满足您的需求。你可以在prodRG中为他们分配只有读者角色,并从中创建一个自定义RBAC角色,其中这些用户将没有资格删除或修改prodRG中的任何资源。
希望这有帮助!