尽管没有 Microsoft Entra ID P1 或 P2 许可证,为什么 Azure 允许创建和分配自定义 RBAC 定义?
问题描述 投票:0回答:1
问题:我能够在不应该的情况下创建和分配自定义 RBAC 定义。
症状:即使我拥有 Microsoft Entra ID Free 许可证,并且此类功能需要 Microsoft Entra ID P1 或 Microsoft Entra ID P2,我仍能够使用 Azure CLI 命令创建和更新自定义角色定义和分配。
背景: 在通过书籍了解 Azure 时,我遇到了一堂课,其中使用 Azure CLI 命令(例如
az role definition createaz role assignment create当我在 Azure 门户中查看结果时,我收到了以下消息:
要创建自定义角色,您的组织需要 Microsoft Entra ID 高级 P1 或 P2。开始免费试用。
我对此感到困惑,因为命令没有返回错误,而是返回预期的成功 JSON 回复。
我使用以下方法确认了定义和作业:
和az role definition list
。az role assignment list- 我还在我的一个存储帐户中创建了一个用户帐户和一个 blob,并在 Azure 门户中验证了分配。
检查随附的屏幕截图。
问:我确信这不可能是正确的(除非我错过了一些东西)。如果是这种情况,我不确定需要在 GitHub 上的哪个位置报告此类问题,或者 Microsoft 代表是否会从这里继续处理该问题。
1个回答
投票
请注意,自定义 RBAC 角色与自定义目录角色不同。
自定义 RBAC 角色用于管理订阅下的 Azure 资源,而自定义目录角色用于在租户级别管理 Azure AD(Microsoft Entra) 资源,例如用户、组、应用程序等。
拥有 Owner 或 User Access Administrator 角色足以创建自定义 RBAC 定义,不需要任何 Premium P1 或 P2 许可证。
我创建了名为 “自定义资源组读取器”的自定义 RBAC 定义,并且能够像这样获取其角色定义:
az role definition list --name "Custom Resource Group Reader"
回复:
您需要 Microsoft Entra ID Premium P1 或 P2 许可证才能创建 自定义目录角色,而不是自定义 RBAC 定义。
当我尝试使用 Microsoft Entra ID Free 许可证创建 自定义目录 角色时,我在门户中收到与您相同的消息,如下所示:
获得Microsoft Entra ID Premium P2许可证后,我可以成功创建自定义目录角色,如下所示:
参考资料:
最新问题
- 如何在const中添加图像?反应js
- 在撤销该 blob url 后清除指向该 blob url 的audio.src?
- 使用日志中的数据点创建仪表板图表
- Power BI - 比较不同类型的列
- swagger @ApiModelProperty List<String> 属性的示例值
- 如何限制用户无法使用颤振中的同步融合在受限日期范围选择器上选择范围日期
- 处理请求时发生未处理的异常。空引用异常
- 从 Google Apps 脚本服务器端代码调用客户端 Javascript
- Lumen 中的出纳员(Stripe)集成
- 使用 Jolt 转义 json
- 在 Visual Studio Code 中指定库路径?
- yii 尝试使用 2 个标准的分页问题
- 发布 Google Apps 脚本插件的生命周期?
- 如何避免使用预 SDK 样式的 VStudio 项目将 NuGet 包存储到源代码管理中?
- 当直接从浏览器调用 url 时,curl www.google.com 的工作方式有所不同
- zlib inflate() 在解压缩缓冲区时部分挂起
- 将 mongomapreduce 代码转换为 php
- 在 woocommerce 中手动对优惠券应用电子邮件限制的代码
- openapi中如何设置默认的API定义url?
- lidR readLAS 函数在读取某些 las 文件时使 R 崩溃