【问题标题】:Is there way to restrict resource access by other 'Owners' in the same Azure Subscription?有没有办法限制同一 Azure 订阅中其他“所有者”的资源访问?
【发布时间】:2020-03-23 12:17:50
【问题描述】:
一个安全组中有很多人,而该组本身就是订阅的所有者。因此,该组的所有成员显然都可以完全访问订阅下的所有资源。从SG中删除人员完全是另一回事,这是不可行的。有没有其他方法可以至少保护我创建的资源,组中的其他任何人都不能修改我的资源?我不是指特定类型的资源,但一般来说,它可能是 Azure 数据工厂、Azure SQL Server 等任何东西。
【问题讨论】:
标签:
azure
azure-active-directory
azure-resource-manager
azure-rbac
【解决方案1】:
Azure 中有一个deny assignment,即使角色分配授予用户访问权限,拒绝分配也会阻止用户执行特定的 Azure 资源操作。
但拒绝分配是由 Azure 创建和管理的。 Azure 蓝图和 Azure 托管应用是可以创建拒绝分配的唯一方法。您不能直接创建自己的拒绝分配。
来自feedback,Microsoft 正在研究自定义拒绝定义,这将有助于满足您的要求。