Azure权限 - 创建资源组所需的 - RBAC

我已将所有者角色分配给资源组。我无法创建新的资源组。

这是一种设计行为，因为所有者权限适用于该资源组，而不适用于订阅。

如果要为该帐户授予创建资源组权限，我们可以在此处进行设置：

将此订阅的所有者权限授予该帐户，这样该帐户将有权创建新资源组。

注意：如果我们向该帐户授予此订阅的所有者权限，则该帐户将获得所有资源组的所有权限。

OP要求RBAC权限，以便创建新的资源组。 @ jason-ye建议订阅所有者角色。这是非必要的权限，因此对于生产或相关环境来说不是一个好的答案。

根据Built-in roles for Azure resources，订阅者上的贡献者角色足以创建所有资源，包括资源组。以下是Contributor角色的权限分配，“*”表示所有内容，有些内容被明确拒绝：

Actions  
*
NotActions  
Microsoft.Authorization/*/Delete 
Microsoft.Authorization/*/Write 
Microsoft.Authorization/elevateAccess/Action 
Microsoft.Blueprint/blueprintAssignments/write 
Microsoft.Blueprint/blueprintAssignments/delete 

我想要一种方法来授予“创建新资源组”而不向现有资源授予“*”。我会继续挖掘它。