我希望一组人能够完全管理订阅,包括管理对其中资源的访问,但管理订阅本身除外。因此(例如(将具有存储帐户的新资源组添加到订阅时,我希望它们自动(通过继承(拥有存储帐户的所有权限,包括向用户授予该存储帐户角色的权限。我只是不希望他们能够在订阅本身上为其他人提供角色,因此无需向订阅添加管理员等。
是否可以将角色(或角色组合(用于此目的?我是否必须考虑创建自定义角色,或者我正在寻找的角色是不可能的?
好吧,我可能是错的,但我看不出这怎么可能:
- 你希望用户从订阅级别继承权限(获取对新创建的资源组的权限的唯一方法(
- 您需要分配权限的权限
- 你想要阻止在订阅级别分配权限的权限
因此,从本质上讲,您要求两件相互冲突的事情。 即使在使用 Azure 蓝图时也无法做到这一点,因为尚无法阻止继承。 因此,您不能阻止特定级别的权限,您只能阻止该级别和所有"向下"级别的权限