是否可以删除 Azure 上贡献者对资源的读/写访问权限?
我们不再使用 Azure Bastion,我们希望禁用贡献者通过 Azure Bastion 对虚拟机的访问,但我们不想完全删除它,因为如果出现紧急情况,我们将保留它(例如:我们的其他 Bastion 提供商已关闭) ).
我使用部署堆栈部署拒绝分配规则,但正如您在本文档中看到的那样https://learn.microsoft.com/en-us/cli/azure/stack/group?view=azure-cli-latest# az-stack-group-创建 Deny-settings-mode只能设置为denyDelete、denyWriteAndDelete、none,但不能设置为read。
要执行此操作,您必须创建一个与贡献者角色相同的角色,并删除此新角色与 Bastion 相关的所有权限。
然后您必须将贡献者从旧角色迁移到新角色。