Azure 资源组访问

Question

如何限制用户访问特定资源组？

例如，我在订阅中有 10 个资源组，用户只能访问其中的 3 个资源组，用户可以在其中执行操作。

Answer 1

当你为 Azure 创建一个新用户时，他们根本没有任何订阅权限，登录门户将显示一个没有资源的空视图。

如果您为该用户添加读者权限，他们将能够读取订阅中的任何资源，但不能修改任何内容。 正如预期的那样。 拥有订阅的读者权限，他们无法创建任何内容、资源组或其他内容。

如果该用户仅被授予对资源组的权限，而对订阅没有权限，那么他们将只能看到他们拥有权限的资源组。然后他们将拥有在该组中授予的任何权限。

在表面之下，每个贡献者和读者角色都有"Microsoft.Resources/subscriptions/resourceGroups/read"操作，这意味着任何具有任何贡献者或读者角色的人都可以看到所有资源组。

没有明确定义resourceGroups/write或resourceGroups/*权限的内置角色。

唯一隐式应用了该权限的组是贡献者和所有者，它们应用了"*" 。

这意味着只有贡献者和所有者才能在订阅中创建资源组。

可以创建一个拒绝resourceGroup/write的自定义角色

因此，要回答您的问题，将用户限制为只能查看特定资源组，请确保他们在订阅级别没有任何访问权限（在此级别的任何访问权限都将允许他们查看资源组） ，并且仅将权限应用于您希望他们看到的资源组。

Answer 2

将用户添加到这些资源组中的参与者角色。

转到资源组，然后打开访问控制 (IAM)，并将用户添加到参与者角色。 对每个资源组重复此操作。

Answer 3

例如，我在订阅中有 10 个资源组，用户只能访问其中的 3 个资源组，用户可以在其中执行操作。

以上可以通过以下步骤

1. 将用户添加到订阅中。 不要为此用户分配订阅级别的任何角色。

2. 通过角色分配将用户作为参与者添加到选定的三个资源组（在访问控制 (IAM) 中）属性。

以上两个配置将使用户只能查看和操作显式的三个资源组，其他资源组将不会出现在 Azure 门户中。

最佳做法是将用户添加到安全组并将安全组分配给角色。