我的公司在多个订阅中使用Azure中的几种不同产品,以及用于身份验证的Azure Active Directory。
我希望我们的IT员工可以根据其角色访问某些类型的所有产品。例如,无论订阅或资源组如何,DBA都应有权访问所有Azure SQL数据库。
我首先想到的是,这必须作为Azure AD角色的一部分来完成,但是我不清楚如何将其应用于特定的产品类型。如果有除AD角色之外的更好方法,我绝对想知道更多。
以前曾发布过类似的问题(例如Azure Active Directory Groups/Roles),但我想检查一下是否有更新的解决方案。
答案 0 :(得分:2)
我不确定您链接的答案与该问题的关系。我认为您必须做两件事:
为每个IT角色创建Azure Active Directory组。您可以在Azure Active Directory中使用attribute-based membership,根据属性(例如角色)将成员自动添加到组中。
遍历您的Azure资源,并将所需的权限授予您的组。如果资源类型为e,则使用PowerShell遍历Azure资源以获取每个订阅。 G。 SQL数据库,授予Azure AD组所需的权限。