Azure权限 - 创建资源组所需的 - RBAC

时间:2017-09-19 20:48:23

标签: azure azure-active-directory azure-virtual-machine rbac azure-management-portal

我已将所有者角色分配给资源组。我无法创建新的资源组。

创建资源组是否需要所有者/贡献者角色才能订阅?

当为用户分配了所有者和读者角色时,哪个角色控制用户访问?

4 个答案:

答案 0 :(得分:1)

  

我已将所有者角色分配给资源组。我无法   创建新资源组。

这是一种设计行为,因为所有者权限适用于该资源组,而不适用于订阅。

如果您要为该帐户授予创建资源组权限,我们可以在此处进行设置:

enter image description here

将此订阅的所有者权限授予该帐户,这样该帐户将有权创建新资源组。

注意:如果我们向该帐户授予此订阅的所有者权限,该帐户将获得所有资源组的所有权限。

答案 1 :(得分:1)

OP要求创建新资源组所需的RBAC权限。 @ jason-ye建议订阅所有者角色。这是多余的权限,因此对于生产或相关环境不是一个很好的答案。

对于每个Built-in roles for Azure resources,订阅的贡献者角色足以创建所有资源,包括资源组。以下是贡献者角色的权限分配,“ *”表示所有内容,某些内容被明确拒绝:

Actions  
*
NotActions  
Microsoft.Authorization/*/Delete 
Microsoft.Authorization/*/Write 
Microsoft.Authorization/elevateAccess/Action 
Microsoft.Blueprint/blueprintAssignments/write 
Microsoft.Blueprint/blueprintAssignments/delete

我想要一种在不授予现有资源“ *”的情况下授予“创建新资源组”的方法。我会继续挖掘这一点。

答案 2 :(得分:1)

这是您的操作方式。

创建文件newrole.json并在文本下方添加。

使用以下命令创建角色

New-AzRoleDefinition -InputFile newrole.json

{
    "Name":  "XXX ReadOnly",
    "Id":  "acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "IsCustom":  false,
    "Description":  "Lets you view everything, Create Resource Groups but not make any changes.",
    "Actions":  [
                    "*/read",
                    "Microsoft.Resources/subscriptions/resourceGroups/write"
                ],
    "NotActions":  [
                   ],
    "DataActions":  [
                    ],
    "NotDataActions":  [
                       ],
    "AssignableScopes":  [                           
                             "/subscriptions/id"
                         ]
}

答案 3 :(得分:1)

Azure提供了四个级别的范围(从高到低排序):管理组,订阅,资源组和资源

您可以在任何这些范围级别上应用管理设置。您选择的级别决定了设置的应用范围。较低级别从较高级别继承设置。例如,当您将策略应用于订阅时,该策略将应用于订阅中的所有资源组和资源。在资源组上应用策略时,该策略将应用于资源组及其所有资源。但是,另一个资源组没有该策略分配。有关更多信息,请检查here

相关问题
最新问题