我想在订阅上放置一个拒绝规则,以便使用定制角色可以覆盖贡献者访问,但有一些例外。
我在MS门户网站(https://docs.microsoft.com/en-us/azure/role-based-access-control/deny-assignments上找到了这篇文章,尽管无法获得任何示例来实现此目的。
任何指导都会有所帮助。
谢谢
答案 0 :(得分:0)
您需要使用Azure Blueprints,您不能直接创建自己的拒绝分配,拒绝分配是由Azure创建和管理的,例如Azure蓝图。
doc解释说:
拒绝分配由Azure创建和管理以保护资源。例如,Azure蓝图和Azure托管应用程序使用拒绝分配来保护系统托管的资源。有关更多信息,请参见Protect new resources with Azure Blueprints resource locks。