Политика Azure для ограничения управления доступом на основе ролей (IAM) для пользователей на уровне группы ресурсов в Azure.

Мы пытались реализовать политику в лазурном режиме, чтобы ограничить назначение на основе ролей. Мы ссылались на политику github ниже, но во время тестирования мы заметили, что она не оценивает roledefinitionIds, определенный в параметре.

https://github.com/Azure/azure-policy/blob/master/samples/Authorization/allowed-role-definitions/azurepolicy.json

Протестировано с параметром ниже roleIDs -

b24988ac-6180-42a0-ab88-20f7382dd24c (роль участника)

acdd72a7-3385-48ef-bd42-f606fba81ae7 (роль читателя)

В идеале он должен занести в белый список идентификаторы ролей, определенные в параметре, и запретить назначение ролей для других идентификаторов ролей. Но по какой-то причине во время оценки служба политик Azure не принимает во внимание идентификаторы ролей, определенные в параметре, и вместо этого ограничивает назначение на основе ролей для всех ролей. Нужна помощь в устранении неполадок.


azure json azure-policy
person Rajat    schedule 22.07.2020    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Я пробовал использовать этот идентификатор определения роли и работал у меня:

/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c

А если вы назначаете политику с портала Azure и хотите указать несколько значений, вам необходимо поставить между ними точку с запятой (;).

person Jagrati Modi    schedule 23.07.2020
comment
Спасибо, сработало. Мы относили политику к определенной группе ресурсов и давали полный идентификатор определения роли с деталями подписки - /subscriptions/%YOUR_SUBSCRIPTION_ID%/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c Это не работало, он работал при обновлении значения параметра без подробностей подписки - /providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c - person Rajat; 24.07.2020
comment
Пожалуйста, отметьте его как принятый ответ, если он вам помог, чтобы он мог быть полезен и другим. Спасибо. - person Jagrati Modi; 24.07.2020

arrow_upward
0
arrow_downward

Вы можете ввести неверный идентификатор. Действительный идентификатор определения роли выглядит так:

/subscriptions/%YOUR_SUBSCRIPTION_ID%/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c
person ccshih    schedule 23.07.2020
comment
Привет, спасибо за ответ. Мы также протестировали предоставление таких идентификаторов roleDefinitionIds. Тем не менее, это ограничивает назначение ролей для всех ролей. В идеале он должен разрешать назначение ролей пользователю для роли «Участник» и ограничивать назначение ролей для других ролей. Не могли бы вы помочь с этой проблемой. - person Rajat; 23.07.2020