Azure 管理组全部拒绝
Posted
技术标签:
【中文标题】Azure 管理组全部拒绝【英文标题】:Azure Management Group Deny all 【发布时间】:2021-11-05 06:38:13 【问题描述】:很抱歉这个基本主题,但我对 azure 管理组和政策感到很困惑。
我有一个production
订阅,我想拒绝所有手动创建资源,只允许将资源创建为代码。
这意味着,如果我尝试从门户创建或更改资源,则会出现错误,但如果我想使用 terraform 或 bicep 创建资源,则可以使用终端执行此操作。
所以我做了什么,在我的Management Groups
中添加了一个子组并分配了订阅。在子组上,我创建了拒绝所有Microsoft.*
的策略,如下所示:
"mode": "All",
"policyRule":
"if":
"field": "type",
"like": "Microsoft.*"
,
"then":
"effect": "deny"
这工作得很好,但是我如何仍然能够使用终端创建带有 terraform 或 bicep 的资源? 或者也许有人可以建议我如何解决这个问题的更好方法?
非常感谢
【问题讨论】:
this 有帮助吗? 【参考方案1】:如果您应用此策略,它也将适用于服务主体。
更好的方法是限制用户(如阅读器)的 RBAC 并仅使用服务主体将资源部署到 Azure。这是一种更简单的方法。
【讨论】:
以上是关于Azure 管理组全部拒绝的主要内容,如果未能解决你的问题,请参考以下文章
无法在 Azure 中创建新的管理组 - New-AzManagementGroup
在 terraform 的 azure 数据资源管理器中使用 eventthub 的默认消费者组
使用 Azure 管理 API 列出容器组失败并出现 System.Net.Sockets.SocketException