资源组的Azure访问控制

时间:2019-05-25 15:24:46

标签: azure role-based-access-control

我在公司中有一个订阅,该订阅供团队的所有成员(所有员工)共享。 我们将此订阅用于测试,开发以及生产工作负载。 我们只有一个订阅,因为它是MS的合作伙伴关系,因此它是赞助的订阅,因此我们不想创建其他订阅。

我想限制对特定资源组的访问,该资源组将托管将管理明智数据的生产资源。 因为团队的所有成员都是订阅级别的贡献者,所以他们有权访问所有资源组,而我无法将其从资源组中删除。 因此,如果我想撤消他们对资源组的访问权并允许他们使用所有其他资源组,该怎么办?

1 个答案:

答案 0 :(得分:1)

  

如果我想撤消他们对资源的访问权,该怎么办   组并允许他们使用所有其他资源组?

AFAIK,唯一的方法是在订阅级别删除用户角色(贡献者),并在每个资源组(生产资源组除外)上分配它们。如果用户在订阅级别上具有较高的角色(例如,贡献者),则不能在资源组级别上分配较低的角色(例如,读者)。

本质上与Azure RBAC一起,当您在父范围内授予访问权限时,这些权限将继承到子范围。

您可以在此处了解有关Azure RBAC的更多信息:https://docs.microsoft.com/en-us/azure/role-based-access-control/overview#how-rbac-works