【发布时间】:2021-05-26 06:25:57
【问题描述】:
如果您是策略分配范围的所有者,或者分配范围是特定的 AAD 组(理想情况下是名称通配符),则寻找一种方法来创建基于策略规则拒绝但不拒绝的 Azure 策略匹配)
Azure 政策信息: 如果角色定义 ID 不在参数值内,则工作策略将拒绝角色分配
愿望:
特定角色定义 ID 在角色分配尝试时被拒绝,如果它与白名单不匹配,但是,如果您是该范围的所有者,则不会拒绝角色分配尝试,或者如果不可能,分配范围是 AAD通配符或正则表达式的组名匹配
问题: 如果 Azure 策略中不允许角色定义,我们已成功拒绝所有角色分配
当我们管理员尝试分配不在允许的角色定义列表中的自定义角色时,现在反过来又被政策阻止了。
这些不在允许列表中的自定义角色正在分配给 AAD 组
不确定如果您是所有者,我们是否可以创建某种排除,或者可能是针对广告组命名约定 (customer-group-*)
总结: 我们需要此 Azure 策略来拒绝客户分配与允许列表中的角色定义 ID 不匹配的任何 RBAC 角色的能力,但我们作为管理员,将拥有“所有者”或“参与者”角色,仍然需要能够分配不在允许列表中的角色。
我无法通过 Azure Policy 或 RBAC 对解决方案进行分层以实现这一目标。
【问题讨论】:
标签: azure terraform rbac azure-policy