【问题标题】:Azure Policy Exclusion if Owner or Contributor所有者或参与者时的 Azure 策略排除
【发布时间】:2021-05-26 06:25:57
【问题描述】:

如果您是策略分配范围的所有者,或者分配范围是特定的 AAD 组(理想情况下是名称通配符),则寻找一种方法来创建基于策略规则拒绝但不拒绝的 Azure 策略匹配)

Azure 政策信息: 如果角色定义 ID 不在参数值内,则工作策略将拒绝角色分配

愿望:

特定角色定义 ID 在角色分配尝试时被拒绝,如果它与白名单不匹配,但是,如果您是该范围的所有者,则不会拒绝角色分配尝试,或者如果不可能,分配范围是 AAD通配符或正则表达式的组名匹配

问题: 如果 Azure 策略中不允许角色定义,我们已成功拒绝所有角色分配

当我们管理员尝试分配不在允许的角色定义列表中的自定义角色时,现在反过来又被政策阻止了。

这些不在允许列表中的自定义角色正在分配给 AAD 组

不确定如果您是所有者,我们是否可以创建某种排除,或者可能是针对广告组命名约定 (customer-group-*)

总结: 我们需要此 Azure 策略来拒绝客户分配与允许列表中的角色定义 ID 不匹配的任何 RBAC 角色的能力,但我们作为管理员,将拥有“所有者”或“参与者”角色,仍然需要能够分配不在允许列表中的角色。

我无法通过 Azure Policy 或 RBAC 对解决方案进行分层以实现这一目标。

【问题讨论】:

    标签: azure terraform rbac azure-policy


    【解决方案1】:

    Azure Policy 不是“用户感知的”,因此您不能基于角色进行排除。

    【讨论】:

      猜你喜欢
      • 2016-12-02
      • 1970-01-01
      • 2019-06-22
      • 2012-12-17
      • 1970-01-01
      • 2016-08-01
      • 1970-01-01
      • 2016-11-25
      • 2011-03-24
      相关资源
      最近更新 更多