我已将所有者角色分配给资源组。我无法创建新的资源组。
要创建资源组,是否需要所有者/贡献者角色才能订阅?
当为用户分配了所有者和读者角色时,哪个角色控制用户访问?
OP要求RBAC权限,以便创建新的资源组。 @ jason-ye建议订阅所有者角色。这是非必要的权限,因此对于生产或相关环境来说不是一个好的答案。
根据Built-in roles for Azure resources,订阅者上的贡献者角色足以创建所有资源,包括资源组。以下是Contributor角色的权限分配,“*”表示所有内容,有些内容被明确拒绝:
Actions
*
NotActions
Microsoft.Authorization/*/Delete
Microsoft.Authorization/*/Write
Microsoft.Authorization/elevateAccess/Action
Microsoft.Blueprint/blueprintAssignments/write
Microsoft.Blueprint/blueprintAssignments/delete
我想要一种方法来授予“创建新资源组”而不向现有资源授予“*”。我会继续挖掘它。