Доступ к ресурсной группе Azure

Question

Доступ к ресурсной группе Azure

Как ограничить доступ пользователей к определенным группам ресурсов?

Например, у меня есть 10 групп ресурсов в подписке, из которых пользователь должен иметь доступ только к 3 группам ресурсов, где пользователь может выполнять свои операции.

3

azure azure-resource-manager azure-rbac

Источник

user6143598 29 мар '18 в 11:15

2 ответа

Другие вопросы по тегам azure azure-resource-manager azure-rbac

user5255018 29 мар '18 в 16:36 2018-03-29 16:36 · Answer 1 · 2018-03-29 16:36

Когда вы создаете нового пользователя для Azure, у него вообще нет разрешений для каких-либо подписок, вход на портал будет представлять пустое представление без ресурсов.

Если вы добавите этому пользователю разрешение на чтение, он сможет читать любой ресурс в подписке, но не изменять его. Как и следовало ожидать. С разрешения читателя на подписку, они не могут создавать что-либо, группы ресурсов или иным образом.

Если этому пользователю предоставлены только разрешения для группы ресурсов без разрешения на подписку, он будет видеть только ту группу ресурсов, в которой у него есть разрешения. Затем они будут иметь любые разрешения, которые ему были предоставлены в этой группе.

Под поверхностью каждый вкладчик и роль читателя имеет "Microsoft.Resources/subscriptions/resourceGroups/read" действие, означающее, что любой пользователь с любой ролью участника или читателя может видеть все группы ресурсов.

Нет встроенной роли, которая явно определила resourceGroups/write или же resourceGroups/* разрешение.

Единственные группы, которые неявно применяют это разрешение, - это вкладчик и владелец, которые имеют "*" применяется.

Это означает, что только участники и владельцы могут создавать группы ресурсов в подписке.

Можно было бы создать пользовательскую роль, которая запрещена resourceGroup/write

Итак, чтобы ответить на ваш вопрос, чтобы ограничить пользователя только возможностью видеть определенные группы ресурсов, убедитесь, что у него нет доступа на уровне подписки (любой доступ на этом уровне позволит им видеть группы ресурсов). и применять разрешения только к тем группам ресурсов, которые вы хотите их видеть.

user4418611 13 дек '19 в 11:36 2019-12-13 11:36 · Answer 2 · 2019-12-13 11:36

Например, у меня есть 10 групп ресурсов в подписке, из которых пользователь должен иметь доступ только к 3 группам ресурсов, в которых пользователь может выполнять свои операции.

Вышеуказанное возможно с помощью следующих шагов

Добавьте пользователя в подписку. Не назначайте этому пользователю роль на уровне подписки.
Добавьте пользователя в качестве участника к выбранным трем группам ресурсов (в управлении доступом (IAM)) свойство через назначение ролей.

Две указанные выше конфигурации позволят пользователю просматривать и работать только с тремя явными группами ресурсов, другие группы ресурсов не будут отображаться на портале Azure.

Лучше всего добавить пользователя в группу безопасности и назначить группу безопасности ролям.

user1658906 29 мар '18 в 11:17 2018-03-29 11:17 · Answer 3 · 2018-03-29 11:17

Добавьте пользователя в роль участника в этих группах ресурсов.

Перейдите в группу ресурсов, затем откройте Access Control (IAM) и добавьте пользователя в роль Contributor. Повторите для каждой группы ресурсов.

2

Источник

user1658906 29 мар '18 в 11:17