1

大家好,我有一个订阅,我想为人们创建“沙盒”环境。我的目标是给人们一个资源组,并让他们成为资源组的所有者。他们可以在这个小资源组中做任何他们想做的事情,但不能在订阅中触及它之外的任何东西。当然,他们可以部署的资源有一些限制,但出于我的目的,这是一个可以接受的解决方案。

我的自动化过程将创建一个 RG,然后向其中添加一些标签。谁拥有它(电子邮件)以及它的创建时间(创建日期)。30 天后,我想通过并祝酒任何 30 天前的资源组。进入这个环境是有时间限制的。我想我可以根据标签日期读取标签并删除。

我需要一种方法来防止 RG 的所有者以任何方式编辑标签。

输入自定义角色 - 资源组所有者

{
    "id": "/subscriptions/<sub-guid>/providers/Microsoft.Authorization/roleDefinitions/1cae04e5-3bd2-4d8d-9c3b-ef5bd8e58408",
    "properties": {
        "roleName": "Resource Group Owner",
        "description": "Assigned at the RG level owns everything within the RG, with the exception of editing tags.",
        "assignableScopes": [
            "/subscriptions/<sub-guid>"
        ],
        "permissions": [
            {
                "actions": [
                    "*"
                ],
                "notActions": [
                    "Microsoft.Resources/tags/write",
                    "Microsoft.Resources/tags/delete"
                ],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

根据文档,这是正确的。我已经指定了允许的操作,然后在分配的范围(在本例中为资源组)添加了应从允许的操作中减去的排除操作。我不在乎他们是否可以在 RG 内的资源上添加或删除标签,我只是不希望他们弄乱 RG 标签。

将此角色分配给用户后,他们只能在分配给他们的订阅中看到 RG,但他们仍然可以编辑分配给它的标签。

我究竟做错了什么?

我已经使用 Azure 蓝图研究了拒绝分配,但没有任何示例说明如何在任何地方创建拒绝分配。属性上有文档,但没有显示蓝图中的外观。

谢谢您的帮助。

4

1 回答 1

1

尽管您将Microsoft.Resources/tags/writeandMicrosoft.Resources/tags/delete放入 中notActions,但还有另一个资源提供程序操作Microsoft.Resources/subscriptions/resourceGroups/write允许用户编辑标签。

你也需要把它放进去notActions

虽然文档说明:Microsoft.Resources/subscriptions/resourceGroups/write是要创建或更新资源组,但我可以在此资源组中创建任何其他 Azure 资源。

从我的测试结果来看,我认为受限的部分只是更新资源组本身。

你可以试试看是否符合你的要求。

于 2021-05-11T03:36:53.377 回答