Как запретить пользователю доступ к определенным группам ресурсов?
Например, у меня есть 10 групп ресурсов в подписке, из которых пользователь должен иметь доступ только к 3 группам ресурсов, в которых пользователь может выполнять свои операции.
Как запретить пользователю доступ к определенным группам ресурсов?
Например, у меня есть 10 групп ресурсов в подписке, из которых пользователь должен иметь доступ только к 3 группам ресурсов, в которых пользователь может выполнять свои операции.
Когда вы создаете нового пользователя для Azure, у него вообще нет разрешений на какие-либо подписки, при входе на портал будет отображаться пустое представление без ресурсов.
Если вы добавите этому пользователю права чтения, он сможет читать любой ресурс в подписке, но не может ничего изменять. Как и следовало ожидать. Имея разрешение читателя на подписку, они не могут создавать что-либо, группы ресурсов или что-то еще.
Если этому пользователю предоставлены разрешения только для группы ресурсов без разрешения на подписку, тогда он будет видеть только группу ресурсов, в которой у него есть разрешения. Тогда они будут иметь все разрешения, предоставленные им в этой группе.
Под поверхностью каждая роль соавтора и читателя имеет действие "Microsoft.Resources/subscriptions/resourceGroups/read"
, что означает, что любой с любой ролью соавтора или читателя может видеть все группы ресурсов.
Нет встроенной роли, которая явно определяла бы resourceGroups/write
или resourceGroups/*
разрешение.
Единственные группы, к которым неявно применяется это разрешение, - это участник и владелец, к которым применено "*"
.
Это означает, что только участники и владельцы могут создавать группы ресурсов в подписке.
Можно было бы создать собственную роль, которая запрещала resourceGroup/write
Итак, чтобы ответить на ваш вопрос, чтобы ограничить пользователя только возможностью видеть определенные группы ресурсов, убедитесь, что у них нет доступа на уровне подписки (любой доступ вообще на этом уровне позволит им видеть группы ресурсов) и применяйте разрешения только к тем группам ресурсов, которые вы хотите, чтобы они видели.
Добавьте пользователя в роль «Участник» в этих группах ресурсов.
Перейдите в группу ресурсов, затем откройте Контроль доступа (IAM) и добавьте пользователя в роль Участника. Повторите для каждой группы ресурсов.
Например, у меня есть 10 групп ресурсов в подписке, из которых пользователь должен иметь доступ только к 3 группам ресурсов, в которых пользователь может выполнять свои операции.
Вышеупомянутое возможно с помощью следующих шагов
Добавьте пользователя в подписку. Не назначайте этому пользователю роль на уровне подписки.
Добавьте пользователя в качестве участника к выбранным трем группам ресурсов (в управлении доступом (IAM)) посредством назначения ролей.
Две указанные выше конфигурации позволят пользователю просматривать и работать только с тремя явными группами ресурсов, другие группы ресурсов не будут отображаться на портале Azure.
Лучше всего добавить пользователя в группу безопасности и назначить группу безопасности ролям.