阻止 RBAC 继承
Posted
技术标签:
【中文标题】阻止 RBAC 继承【英文标题】:Blocking RBAC inheritance 【发布时间】:2019-04-15 13:16:11 【问题描述】:我正在 Azure 中创建订阅,并分配了多个 RBAC 角色:托管团队和项目团队。托管团队应该可以完全访问所有内容,项目团队应该可以完全访问所有内容,除非有一些例外,例如无法访问“网络”资源组(尽管允许他们创建自己的包含网络的资源组)。我们在订阅级别为项目团队设置了 RBAC 所有者,但这样做也允许他们完全管理受限区域。
原则上,Azure 门户中的“拒绝”分配可以满足我们的需求,但它们目前仅适用于 Azure 蓝图。有什么想法吗?
【问题讨论】:
【参考方案1】:块继承还不存在,您唯一的选择是仔细制作和分配自定义 rbac 角色或仔细分配内置角色(因此,永远不要在子级别,仅在资源组级别)。
或者使用 Azure 蓝图,他们似乎在那里添加了对它的支持。
【讨论】:
以上是关于阻止 RBAC 继承的主要内容,如果未能解决你的问题,请参考以下文章