阻止 RBAC 继承

Question

我正在 Azure 中创建订阅，并分配了多个 RBAC 角色：托管团队和项目团队。托管团队应该可以完全访问所有内容，项目团队应该可以完全访问所有内容，除非有一些例外，例如无法访问“网络”资源组（尽管允许他们创建自己的包含网络的资源组）。我们在订阅级别为项目团队设置了 RBAC 所有者，但这样做也允许他们完全管理受限区域。

原则上，Azure 门户中的“拒绝”分配可以满足我们的需求，但它们目前仅适用于 Azure 蓝图。有什么想法吗？

Answer 1

块继承还不存在，您唯一的选择是仔细制作和分配自定义 rbac 角色或仔细分配内置角色（因此，永远不要在子级别，仅在资源组级别）。

或者使用 Azure 蓝图，他们似乎在那里添加了对它的支持。