Я пытаюсь создать пользовательское определение роли Azure RM, которое предназначено для некоторых групп ресурсов внутри одной подписки.Я не хочу предоставлять доступ ко всем подпискам или только к одной группе ресурсов, и я не могу указать список групп ресурсов, потому что некоторые из них еще не созданы.Я хочу предоставить доступ только к некоторому подмножеству групп ресурсов подписки.
Для этого я использую командлет PowerShell
New-AzureRmRoleDefinition -InputFile .\new-role.json
Где JSON
{
"Name": "RoleAssignmentsWriter",
"Description": "Allow to perform role assignment",
"Actions": [
"Microsoft.Authorization/roleAssignments/write"
],
"AssignableScopes": [
"/subscriptions/xxxxx-xxxxx-xxxx-xxx-xxxxxxx/resourceGroups/prefix*"
]
}
Где префикс - префикссуществующих и имен групп ресурсов.
Работает, если AssignableScopes: [“/subscriptions/xxxxx-xxxxx-xxxx-xxx-xxxxxxx”]
- полная подписка или AssignableScopes: ["/subscriptions/xxxxx-xxxxx-xxxx-xxx-xxxxxxx/resourceGroups/ResourceGroupName”]
Но не работает, если я укажу AssignableScopes: ["/subscriptions/xxxxx-xxxxx-xxxx-xxx-xxxxxxx/resourceGroups/prefix*"]
или даже AssignableScopes: ["/subscriptions/xxxxx-xxxxx-xxxx-xxx-xxxxxxx/resourceGroups/*"]
,
Одна важная вещь заключается в том, что я хочу создать определение роли для несуществующих групп ресурсов, они будут созданы позже.
Вопрос: можно ли указать AssignableScopes
только длякакое-то подмножество групп ресурсов подписки?Может быть, я могу использовать какой-то подстановочный знак в AssignableScopes
?Простая звездная отметка не работает.Или, может быть, я могу использовать теги группы ресурсов или что-то еще?
Заранее большое спасибо.