Можно ли дать разрешения на создание групп ресурсов Azure через AAD без RBAC?
Я понимаю, что вы можете назначить роль RBAC "Участник" на уровне подписки, чтобы дать пользователю разрешение на создание групп ресурсов.
Однако есть ли способ дать это разрешение через AAD (назначение роли администратора)? Или любым другим способом?
В настоящее время я не могу создавать группы ресурсов, и мне нужно попросить разрешения. Я пытаюсь понять, какие существуют различные способы сделать это. (особенно потому, что в подписке вообще нет ролей RBAC, кроме "классических администраторов", и все же я вижу, что некоторые группы ресурсов были созданы и принадлежат неклассическим администраторам)
3 ответа
Единственный другой способ сделать это - назначить пользователя глобальным администратором, после этого этот пользователь может предоставить себе полные права доступа ко всему внутри клиента.
Он находится под блейдом Azure AD >> Свойства >> Управление доступом к ресурсам Azure
AFAIK, роль Участника также может быть назначена классическим администратором (например, со-администратором), так что просто дайте ему назначить роль для вас, нет необходимости использовать AAD.
да, это то, что я, скорее всего, буду делать. Но пытаясь понять, можно ли это сделать и через AAD, и если да, то лучше ли это и как?
Конец каждого пути требует, чтобы вы стали ролью rbac или классическим администратором. В AAD это просто дает вам разрешение на это (например, управление подпиской), но цель получения разрешения - назначить роль.
Я понимаю, что вы можете назначить роль RBAC "Участник" на уровне подписки, чтобы дать пользователю разрешение на создание групп ресурсов.
Ваше понимание верно. Чтобы создать ресурс в клиенте, необходимо назначить роль на уровне подписки (RBAC). Но это отличается от роли в AAD (назначение роли администратора).
Например, если вы хотите создать группу ресурсов, вам нужно назначить роль пользователю в подписке.
Но если вы хотите создать группу в AAD, вам просто нужна роль каталога.
Подробнее о RBAC вы можете прочитать здесь.