如何自定义订阅贡献者角色以阻止 Azure 中的存储

问题描述 投票:0回答:2

我需要在 Azure 订阅级别自定义贡献者角色,这样添加到该自定义贡献者角色的人员就无法查看或读取存储帐户(在该订阅下)的数据。

我就是这样做的:

步骤1

Clone Subscription contributor Basic

步骤2

Permission

第3步(操作显示*)

JSON

Review and Create

此 MSFT 链接未向我显示可以删除或添加的 JSON 详细信息,以便可以阻止对存储帐户的读取访问权限。

因此,我正在尝试以下方法来自定义它(两个可分配的范围来覆盖订阅以及阻止查看存储数据):

2 assignable scope

注意,这个想法是人们需要贡献者角色来管理订阅。但是,他们不得查看此特定订阅下存储中的数据。

我认为这不是正确的做法。还有其他方法可以实现这一目标吗?

azure azure-active-directory azure-storage azure-policy azure-rbac
2个回答
0
投票

如果您想创建自定义角色,那么您应该查看资源提供者操作。从那里,您可以看到每个资源提供者的所有可用操作。

您可能会对 

DataActions
感兴趣,例如 
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
和其他内容,具体取决于您想要过滤掉的内容。

0
投票

如果您想在订阅范围级别下特别阻止Azure存储。

排除添加权限部分下的 Azure 存储,以便仅在创建 RBAC 角色

时阻止 Azure 存储
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.