Question

Я понимаю, что вы можете назначить роль RBAC "Участник" на уровне подписки, чтобы дать пользователю разрешение на создание групп ресурсов.

Однако есть способ дать это разрешение через AAD (назначение роли администратора)?Или любым другим способом?

В настоящее время я не могу создавать группы ресурсов, и мне нужно получить разрешение.Я пытаюсь понять, какие существуют различные способы сделать это.(особенно потому, что в подписке вообще нет ролей RBAC, кроме «классических администраторов», и все же я вижу, что некоторые группы ресурсов были созданы и принадлежат неклассическим администраторам)

SunnySun · Answer 1 · 28 февраля 2019

Я понимаю, что вы можете назначить роль RBAC "Участник" на уровне подписки, чтобы дать пользователю разрешение на создание групп ресурсов.

Ваше понимание верно.Чтобы создать ресурс в клиенте, необходимо назначить роль на уровне подписки (RBAC).Но с ролью в AAD (назначение роли администратора) все по-другому.

Например, если вы хотите создать группу ресурсов, вам нужно назначить эту роль пользователю в подписке.

Но если вы хотите создать группу в AAD, вам просто нужна роль каталога.

Для получения подробной информации о RBAC, вы можете прочитать здесь .

Joy Wang · Answer 2 · 01 марта 2019

AFAIK, роль Участника также может быть назначена классическим администратором (например, со-администратором), так что просто дайте ему назначить роль для вас, нет необходимости использовать AAD.

да, это то, что я, скорее всего, буду делать.Но пытаясь понять, можно ли это сделать и через AAD, и если да, то лучше ли это и как?

Конец каждого способа требует, чтобы вы стали ролью rbac или классическим администратором.В AAD это просто дает вам разрешение на это (например, управление подпиской), но цель получения разрешения - назначить роль.

4c74356b41 · Answer 3 · 28 февраля 2019

Единственный способ сделать это - назначить пользователя глобальным администратором, после чего этот пользователь может предоставить себе полные разрешения для всего, что находится внутри арендатора.

Свойство под блейдом Azure AD >> Свойства >> Управление доступомдля ресурсов Azure

Можно ли дать разрешения на создание групп ресурсов Azure через AAD без RBAC?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Можно ли дать разрешения на создание групп ресурсов Azure через AAD без RBAC?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы