如果用户不是参与者或所有者，Azure 用户如何创建资源组？答案

【问题标题】：How can an Azure user create a Resource Group if user is not Contributor or Owner?如果用户不是参与者或所有者，Azure 用户如何创建资源组？
【发布时间】：2020-03-23 18:25:15
【问题描述】：

我可以为允许他们创建资源组的用户分配什么角色？我不能使用所有者或贡献者，因为它们太强大了。重点是限制各种开发人员可以做的事情。

例如，我们的开发团队使用数据库创建 Web 应用程序并将其部署到 Azure。这些资源被放在一个资源组中。所以开发者需要创建应用服务、应用服务计划、sql db、应用洞察和资源组。但我们不希望所有开发人员都可以访问 Azure 中的许多其他资源。这就是贡献者或所有者太强大的原因。

另外，仅供参考，我们正在努力开发通过管道部署的 ARM 模板，但这需要一段时间。因此，与此同时，其中一些是手动完成的。

除了资源组之外，所有这一切似乎都可以通过 RBAC 实现。

谢谢，

安迪

【问题讨论】：

另一种方法是为公司正在进行的每个项目创建单独的订阅。然后开发人员可以在该子系统中有贡献者。这还具有单独计费可见性的额外优势。
谢谢@DavidC，但我认为我们正在寻找的更复杂。另外，重点是开发人员仍然可以创建资源。

标签： azure azure-active-directory azure-rbac

【解决方案1】：

您可以创建一个custom role，然后分配给用户，Actions 需要包含Microsoft.Resources/subscriptions/resourceGroups/write，您还可以包含其他操作，这取决于您的要求。

示例：

{
  "Name": "Resource Group Operator",
  "Id": "88888888-8888-8888-8888-888888888888",
  "IsCustom": true,
  "Description": "Can operate on resource groups",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/read"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId}"
  ]
}

【讨论】：

我添加了所有这些操作：（...以将此评论保持在字符限制内）“Microsoft.Resources/subscriptions/resourceGroups/read”、“.../resourceGroups/write”、 “.../resourceGroups/delete”、“.../resourceGroups/moveResources/action”、“.../resourceGroups/validateMoveResources/action”、“.../resourcegroups/resources/read”、“... /resourcegroups/deployments/read”、“.../resourcegroups/deployments/write”、“.../resourcegroups/deployments/operations/read”、“.../resourcegroups/deployments/operationstatuses/read”