我希望一群人能够完全管理订阅,包括管理订阅中的资源,除了管理订阅本身。因此(例如)在将具有存储帐户的新资源组添加到预订时,我希望它们自动(通过继承)拥有该存储帐户的所有权限,包括在该存储帐户上赋予人员角色的权限。我只是不希望他们能够在订阅本身上给其他人角色,所以不要在订阅中添加管理员等。
我可以使用内置角色(或角色组合)吗?我是否需要考虑创建自定义角色,还是找不到我想要的?
答案 0 :(得分:1)
好吧,我可能错了,但是我不知道这怎么可能:
所以,实质上,您是在要求发生两件事冲突。即使使用Azure蓝图,这也是不可能的,因为您还不能阻止继承。因此您不能在特定级别上阻止权限,只能在该级别和所有“向下”级别阻止权限