Я пытаюсь разделить роль RBAC владельца Azure между действиями IAM и другими действиями. Возможно ли, если да, то помогите.
Я попытался перечислить все действия всех ролей Azure RBAC и попытался провести различие между IAM и другими действиями, но я знаю, что это не очень хорошая практика, даже если я попытался перечислить действия роли владельца, которая является "*" , Я пробовал сотни веб-сайтов, а также решения, но я не работаю
2 ответа
Как упоминалось в комментарии, я думаю, что вы можете использовать Contributor, по сравнению с владельцем, он может делать что-либо как владелец, но не управлять доступом к ресурсам (вы сказали, что это связано с AD).
Что касается AD, связанной с Owner, вы можете просто проверить NotActions из Contributor.
И если вы хотите разделить разрешения Владельца на две части, я думаю, что это не имеет смысла, поскольку, если ваша пользовательская роль имеет разрешение на управление доступом к ресурсам, он может назначать другие роли (например, Owner) любому как он сам
Таким образом, в вашем случае вы могли бы просто назначить Owner пользователю, которому требуется наибольшее количество разрешений, назначить Contributor пользователю, которому вы не хотите давать разрешения для объектов, связанных с AD.
Насколько я знаю, роль Azure RBAC используется для управления ресурсом Azure. Что касается управления действиями в Azure AD, Azure предоставляет другие роли для управления им. Для более подробной информации, пожалуйста, обратитесь к
- https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles
- https://docs.microsoft.com/en-us/azure/role-based-access-control/overview
- https://docs.microsoft.com/en-us/azure/role-based-access-control/rbac-and-directory-admin-roles