azure - 如何拒绝订阅级别贡献者角色对 Azure 中特定资源组的访问
问题描述
我尝试编写自定义 RBAC 角色以拒绝在订阅级别上担任贡献者角色但未能成功的用户访问特定资源组,我只想拒绝订阅中特定资源组的用户,但用户应该拥有所有其他访问权限.
解决方案
如果您创建自定义角色,这将起作用,但是,自定义角色不会附加到现有权限,因此自定义角色中的 DENY 权限仅适用于您在同一自定义角色中授予的权限。
因此,如果用户是 RBAC 的订阅贡献者,则无法执行此操作。不过,您可能会想出一些 Azure Policy。
推荐阅读
- node.js - 在heroku上自动部署问题
- bash - 将 bash 脚本输出保存到变量
- cytoscape.js - 避免重叠的复合节点
- javascript - 检查位置路径/搜索/哈希是否匹配值
- xslt - XSLT 2.0 使用带有 except 的键返回意外结果
- python - google colab 在进程中设置一个 '^C'
- node.js - 将新对象推送到嵌套的 mongodb 文档,其中特定条件在子文档中匹配
- xslt-1.0 - XSL 多个条件大于 0
- swift - 如何从 xcode 10 中的 appdelegate 修改视图
- jquery - 输入范围更改为特定值时发出警报