如何限制用户访问特定资源组?
例如,我在订阅中有10个资源组,用户应该只能访问3个资源组,用户可以在其中进行操作。
答案 0 :(得分:4)
当您为Azure创建新用户时,他们对任何订阅都没有任何权限,登录到门户网站将显示没有资源的空视图。
如果您向该用户添加读者权限,他们就可以读取订阅中的任何资源,但不能修改任何内容。正如所料。有了订阅者的读者权限,他们无法创建任何内容,资源组或其他内容。
如果该用户仅被授予对资源组的权限,而没有订阅权限,则他们只会看到他们具有权限的资源组。然后,他们将拥有在该组中授予的任何权限。
表面上,每个贡献者和读者角色都有"Microsoft.Resources/subscriptions/resourceGroups/read"个动作,这意味着任何具有任何贡献者或读者角色的人都可以看到所有资源组。
没有明确定义resourceGroups/write或resourceGroups/*权限的内置角色。
隐式应用了该权限的唯一群组是贡献者和所有者,其中已应用"*"。
这意味着只有贡献者和所有者才能在订阅中创建资源组。
可以创建拒绝resourceGroup/write
因此,要回答您的问题,要限制用户只能看到特定的资源组,请确保他们在订阅级别没有任何访问权限(此级别的任何访问权限都允许他们查看资源组),并仅将权限应用于您希望他们查看的资源组。
答案 1 :(得分:2)
将用户添加到这些资源组中的Contributor角色。
转到资源组,然后打开Access Control(IAM),并将用户添加到Contributor角色。对每个资源组重复。
答案 2 :(得分:0)
例如,我在一个订阅中有10个资源组 用户应该只能访问3个资源组,其中 用户可以执行操作。
通过以下步骤可以实现以上
将用户添加到订阅中。不要在该用户的订阅级别分配任何角色。
通过角色分配将用户作为贡献者添加到所选的三个资源组(在访问控制(IAM)中)属性。
以上两个配置将使用户只能查看和操作显式的三个资源组,其他资源组将不会出现在Azure门户中。
最佳做法是将用户添加到安全组,并将安全组分配给角色。