Управление доступом Azure для групп ресурсов

Question

У меня есть подписка в моей компании, которая является общей для всех членов команды (всех сотрудников).Мы используем эту подписку для тестирования, разработки, а также производственных нагрузок.У нас есть только одна подписка, потому что это спонсорская подписка благодаря нашему партнерству с MS, поэтому мы не хотим создавать другие подписки.

Я хочу ограничить доступ к определенной группе ресурсов, в которой будут размещаться производственные ресурсы.где разумные данные будут управляться.Поскольку все члены команд являются участниками уровня подписки, у них есть доступ ко всем группам ресурсов, и я не могу удалить их из группы ресурсов.Итак, как мне действовать, если я хочу отозвать их доступ к группе ресурсов и разрешить им использовать все другие группы ресурсов?

Answer 1

Итак, как мне действовать, если я хочу отозвать их доступ к группе ресурсов и разрешить им использовать все другие группы ресурсов?

AFAIK, Единственный способ сделать это - удалитьроль пользователей (Contributor) на уровне подписки и назначать их каждой группе ресурсов (кроме рабочей группы ресурсов).Если у пользователя более высокая роль (скажем, Contributor) на уровне подписки, вы не можете назначить более низкую роль (скажем, Reader) на уровне группы ресурсов.

По существу, с помощью Azure RBAC, когда вы предоставляете доступ наВ родительской области эти разрешения наследуются дочерним областям.

Подробнее о Azure RBAC можно прочитать здесь: https://docs.microsoft.com/en-us/azure/role-based-access-control/overview#how-rbac-works.