Доступ к группе ресурсов Azure

Как запретить пользователю доступ к определенным группам ресурсов?

Например, у меня есть 10 групп ресурсов в подписке, из которых пользователь должен иметь доступ только к 3 группам ресурсов, в которых пользователь может выполнять свои операции.


azure azure-rbac azure-resource-manager
person Madhur Asati    schedule 29.03.2018    source источник

Ответы (3)


arrow_upward
4
arrow_downward

Когда вы создаете нового пользователя для Azure, у него вообще нет разрешений на какие-либо подписки, при входе на портал будет отображаться пустое представление без ресурсов.

Если вы добавите этому пользователю права чтения, он сможет читать любой ресурс в подписке, но не может ничего изменять. Как и следовало ожидать. Имея разрешение читателя на подписку, они не могут создавать что-либо, группы ресурсов или что-то еще.

Если этому пользователю предоставлены разрешения только для группы ресурсов без разрешения на подписку, тогда он будет видеть только группу ресурсов, в которой у него есть разрешения. Тогда они будут иметь все разрешения, предоставленные им в этой группе.

Под поверхностью каждая роль соавтора и читателя имеет действие "Microsoft.Resources/subscriptions/resourceGroups/read", что означает, что любой с любой ролью соавтора или читателя может видеть все группы ресурсов.

Нет встроенной роли, которая явно определяла бы resourceGroups/write или resourceGroups/* разрешение.

Единственные группы, к которым неявно применяется это разрешение, - это участник и владелец, к которым применено "*".

Это означает, что только участники и владельцы могут создавать группы ресурсов в подписке.

Можно было бы создать собственную роль, которая запрещала resourceGroup/write

Итак, чтобы ответить на ваш вопрос, чтобы ограничить пользователя только возможностью видеть определенные группы ресурсов, убедитесь, что у них нет доступа на уровне подписки (любой доступ вообще на этом уровне позволит им видеть группы ресурсов) и применяйте разрешения только к тем группам ресурсов, которые вы хотите, чтобы они видели.

person Michael B    schedule 29.03.2018

arrow_upward
2
arrow_downward

Добавьте пользователя в роль «Участник» в этих группах ресурсов.

Перейдите в группу ресурсов, затем откройте Контроль доступа (IAM) и добавьте пользователя в роль Участника. Повторите для каждой группы ресурсов.

person juunas    schedule 29.03.2018
comment
Добавление роли читателя не поможет, так как я хочу ограничить пользователя в создании группы и хочу, чтобы они выполняли все задачи в назначенных группах. - person Madhur Asati; 29.03.2018
comment
Упс, я имел в виду соавтора. Они не смогут создавать новые RG, если они являются участниками только на уровне RG. Вы можете сделать их Владельцами, если хотите разрешить им также добавлять доступ для других. - person juunas; 29.03.2018
comment
Сценарий такой: я хочу создать пользователя с мелкозернистым доступом, который может переходить к назначенной группе, скажем, ABC-RG. После того, как я назначаю группу RG пользователю, у пользователя не должно быть полномочий на создание другой группы RG, однако пользователь может выполнять любую задачу в этой группе RG, например создавать виртуальную машину, базу данных, CDN. ПОЛЬЗОВАТЕЛЬ в IAM и роль участника в RBAC. Это сработает? - person Madhur Asati; 29.03.2018
comment
Вы можете назначить их Contributor в RG. Он делает именно то, что вы хотите. - person juunas; 29.03.2018
comment
Спасибо, я вернусь к вам. - person Madhur Asati; 29.03.2018
comment
Я назначил пользователю роль участника, но пользователь все еще может создавать группу. - person Madhur Asati; 29.03.2018
comment
Вы назначили их участнику в группе ресурсов? Если вы назначите их Contributor по подписке, они также смогут создавать группы RG. Вероятно, вам следует проверить, какова их роль на уровне подписки. - person juunas; 29.03.2018
comment
Да, я проверил это на уровне подписки, там нет назначенного правила. Шаги, которые я выполнил из учетной записи владельца. Я создал группу групп, после создания группы я перешел в группу и в разделе IAM назначил роль участника для этой конкретной группы, а затем я попытался войти в систему из другой учетной записи, для которой роль была назначена. К сожалению, мне удалось увидеть всю RG, и я также смог создать RG. Пожалуйста, дайте мне знать, на каком этапе я делаю неправильно. - person Madhur Asati; 29.03.2018
comment
Если они могут видеть другие группы RG, значит, у них есть роль в них или в подписке, иначе они не увидят их. - person juunas; 29.03.2018

arrow_upward
2
arrow_downward

Например, у меня есть 10 групп ресурсов в подписке, из которых пользователь должен иметь доступ только к 3 группам ресурсов, в которых пользователь может выполнять свои операции.

Вышеупомянутое возможно с помощью следующих шагов

  1. Добавьте пользователя в подписку. Не назначайте этому пользователю роль на уровне подписки.

  2. Добавьте пользователя в качестве участника к выбранным трем группам ресурсов (в управлении доступом (IAM)) посредством назначения ролей.

Две указанные выше конфигурации позволят пользователю просматривать и работать только с тремя явными группами ресурсов, другие группы ресурсов не будут отображаться на портале Azure.

Лучше всего добавить пользователя в группу безопасности и назначить группу безопасности ролям.

person Venkatesh Muniyandi    schedule 13.12.2019