azure - 阻止 RBAC 继承
问题描述
我正在 Azure 中创建订阅,并分配了多个 RBAC 角色:托管团队和项目团队。托管团队应该可以完全访问所有内容,项目团队应该可以完全访问所有内容,除了少数例外,例如不能访问“网络”资源组(尽管他们可以创建自己的资源组,其中包含联网)。我们在订阅级别为项目团队设置了 RBAC 所有者,但这样做也允许他们完全管理受限区域。
原则上,Azure 门户中的“拒绝”分配可以满足我们的需求,但它们目前仅适用于 Azure 蓝图。有任何想法吗?
解决方案
块继承还不存在,您唯一的选择是仔细制作和分配自定义 rbac 角色或仔细分配内置角色(因此,永远不要在子级别,仅在资源组级别)。
或者使用 Azure 蓝图,他们似乎在那里添加了对它的支持。
推荐阅读
- ruby-on-rails - 在 Rails 中验证依赖创建
- angular - 使用 Angular HTML 中的主机名访问当前 url
- javascript - 将 Adal.js 与自定义登录页面一起使用
- c++ - 是否有任何优雅的方式来遍历元素位置可以改变的列表?
- apache-kafka - 在 kafka 消费者端使用分配而不是订阅
- java - 以严格的顺序运行 JUnit5 测试
- node.js - 嵌套计划 npm 不工作
- html - 拉伸图像以适应特定的 div
- java - 如何使用 KafkaStream 使用主题中的记录..?
- android - 在 RecyclerView 的滚动上滚动 ImageView