Я хочу внедрить RBA C для наших Azure пользователей. Я создал различные группы Active Directory (суперпользователь, администратор, участник) и заблокировал разрешения.
Одно разрешение, которое я ищу, - это ограничение членства в группе AD, которое может изменяться только группой суперпользователей. члены.
Может кто-нибудь указать мне, какие actions и / или data_actions мне нужно предоставить / ограничить?
Если это уместно, я делаю это в Terraform.
resource "azuread_group" "superuser" {
name = "Super User"
}
resource "azuerad_group" "team" {
name = "Team"
}
resource "azurerm_role_definition" "superuser-add-user-to-team-group" {
name = "Super User: add to team"
scope = "${data.azurerm_subscription.current.id}"
// It's this block I need the permissions for
permissions {
actions = ["*"]
data_actions = ["*"]
}
assignable_scopes = [
"${data.azurerm_subscription.current.id}" // @todo put in the scope for the Team AD Group
]
}
resource "azurerm_role_assignment" "assign-add-user-to-team-group-to-superuser-group" {
scope = "${data.azurerm_subscription.current.id}"
role_definition_id = "${azurerm_role_definition."superuser-add-user-to-team-group".id}"
principal_id = "${azuread_group.superuser.id}"
}