azure - 具有特殊 AssignableScopes 的 Azure 自定义 RM 角色定义
问题描述
我正在尝试创建一个自定义 Azure RM 角色定义,该定义适用于一个订阅中的某些资源组。我不想提供对所有订阅或仅一个资源组的访问权限,并且我无法指定资源组列表,因为其中一些尚未创建。我只想提供一些订阅资源组子集的访问权限。
为此,我使用 PowerShell cmdlet
New-AzureRmRoleDefinition -InputFile .\new-role.json
JSON 在哪里
{
"Name": "RoleAssignmentsWriter",
"Description": "Allow to perform role assignment",
"Actions": [
"Microsoft.Authorization/roleAssignments/write"
],
"AssignableScopes": [
"/subscriptions/xxxxx-xxxxx-xxxx-xxx-xxxxxxx/resourceGroups/prefix*"
]
}
其中prefix是现有资源组名称和功能资源组名称的前缀。
它适用于AssignableScopes: [“/subscriptions/xxxxx-xxxxx-xxxx-xxx-xxxxxxx”]
- 整个订阅或如果AssignableScopes: ["/subscriptions/xxxxx-xxxxx-xxxx-xxx-xxxxxxx/resourceGroups/ResourceGroupName”]
AssignableScopes: ["/subscriptions/xxxxx-xxxxx-xxxx-xxx-xxxxxxx/resourceGroups/prefix*"]
但如果我指定或什至不工作AssignableScopes: ["/subscriptions/xxxxx-xxxxx-xxxx-xxx-xxxxxxx/resourceGroups/*"]
。
一件重要的事情是我想为尚不存在的资源组创建角色定义,稍后将创建它们。
问题是:是否可以AssignableScopes
仅指定订阅资源组的某些子集?也许我可以在里面使用某种通配符AssignableScopes
?简单的星标不起作用。或者也许我可以使用资源组标签或其他东西?
非常感谢您提前。
解决方案
是否可以仅将 AssignableScopes 指定给订阅资源组的某些子集?也许我可以在 AssignableScopes 中使用某种通配符?
AFAIK,你不能在里面使用通配符assignableScopes
,New-AzureRmRoleDefinition
powershell命令本质上调用了Role Definitions - Create Or Update
REST API,assignableScopes
只接受三种类型,参考这个链接。
如果您只想将 AssignableScopes 指定给订阅资源组的某个子集,则需要在 中一一指定assignableScopes
,例如
"assignableScopes": [
"subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1",
"subscriptions/{subscriptionId}/resourceGroups/myresourcegroup2",
"subscriptions/{subscriptionId}/resourceGroups/myresourcegroup3",
]
或者也许我可以使用资源组标签或其他东西?
不,可能的属性都列在 REST API 文档中,没有其他属性。