授予对特定订阅中 Azure 中特定资源组的 RBAC 访问权限

Question

我有一种情况，其中

userA

拥有分配给名为

rg_report_prod

的资源组的读者角色。

rg_report_prod

位于名为

sub_production

的订阅中。

现在的问题是

userA

只需要访问资源组rg_report_prod中的资源，用户抱怨他们无法使用Azure中的订阅窗格访问资源组，用户被授予订阅级别的读者角色权限，现在他们可以看到所有资源组，这并不理想。

有没有办法限制用户只能使用名为

rg_report_prod

的资源组，而不能使用其他任何东西。

在做了一些研究并阅读了类似的问题here后，用户建议授予订阅访问权限而不在订阅级别分配角色，这是不可能的。在订阅级别分配权限时，需要选择角色。

这里有什么可能的解决方案吗？

Answer 1

有没有办法限制用户只能使用名为的资源组
rg_report_prod
，没有别的。

要将用户限制到特定资源组，您需要将 Reader 角色分配给该 资源组 范围下的用户，如下所示：

enter image description here

要访问资源，用户必须直接在搜索栏中输入资源组名称并单击它，而不是通过Azure中的订阅窗格访问它们。

enter image description here

现在，用户应该能够访问和管理仅在rg_report_prod

资源组内的资源，而无需查看该订阅中的其他资源组。

enter image description here

参考：了解 Azure RBAC 的范围 |微软