我正在Azure中创建订阅,并分配了许多RBAC角色:托管团队和项目团队。托管团队应该可以完全访问所有内容,项目团队应该可以完全访问所有内容,例外情况,例如:无法访问“网络”资源组(尽管允许他们创建自己的包含网络的资源组)。我们在订阅级别为项目团队设置了RBAC所有者,但这样做也可以让他们完全管理受限区域。
原则上,Azure门户中的“拒绝”分配符合我们的需求,但它们目前仅适用于Azure蓝图。有任何想法吗?
块继承尚不存在,您唯一的选择是仔细制作和分配自定义rbac角色或仔细分配内置角色(因此,从不在子级别,仅在资源组级别)。
或者使用Azure蓝图,看起来他们在那里添加了支持。