标签: azure amazon-iam rbac
我尝试编写自定义RBAC角色,以拒绝作为订阅级别上的贡献者角色但无法成功访问的用户对特定资源组的访问,我只想拒绝订阅中特定资源组的用户,但用户应该休息一下所有其他访问权限。
答案 0 :(得分:1)
如果您创建一个自定义角色,它将起作用,但是,自定义角色不能与现有权限相加,因此自定义角色中的DENY权限仅适用于您在同一自定义角色中授予的权限。 >
因此,如果用户是RBAC的订阅贡献者,则无法执行此操作。不过,您可能会提出一些Azure策略。