Лучшие практики по Azure и управлению доступом

Question

Мне нужно предоставить коллеге доступ к порталу Azure для разработчиков, чтобы он мог научиться создавать веб-ботов.Поскольку у него нет лазурного опыта, я не хочу подробно рассказывать о нем, поэтому предпочел бы использовать RBAC, но я не совсем понимаю, какие роли лучше всего применять.Я думал о создании группы ресурсов, а затем определял область назначения роли «участник», но хотел бы попытаться найти более детальный подход, в котором типы ресурсов, которые может создавать пользователь, ограничены, например, за исключением виртуальных машин и SQL-сервера.

Answer 1

Когда вы развертываете бота, обычно на портале Azure создаются следующие ресурсы :

Ресурсы

• Веб-приложение
• ПриложениеСервис
• План обслуживания приложения
• Информация о приложении
• Учетная запись хранения

Если вы хотите получить по-настоящему гранулярные данные, вы можете сделать так, чтобы ваш коллега это встроенные роли , поскольку это типичные службы, развертываемые с помощью бота:

• Автор веб-плана
• Участник веб-сайта
• Участник учетной записи хранения
• Вкладчик компонента Application Insights

Другой подход заключается в том, чтобы пойти по пути группы ресурсов и назначить политику для аудита создания служб, чтобы вы могли предоставить своему колледжу больше места для тестирования