Я создаю подписки в Azure с несколькими назначенными ролями RBAC: команда хостинга и команда проекта.Хостинговая команда должна иметь полный доступ ко всему, а проектная команда должна иметь полный доступ ко всему, за исключением нескольких исключений, например, не иметь доступа к группе ресурсов «Сеть» (хотя им разрешено создавать свои собственные группы ресурсов, содержащиесетей).Мы установили владельца RBAC для проектной команды на уровне подписки, но при этом это также позволяет им полностью управлять зонами ограниченного доступа.
Принципиально «запрещающие» назначения в портале Azure будут соответствовать нашим потребностям, однако в настоящее время они доступны только для чертежей Azure.Есть идеи?