在 Azure 仪表板中 - 允许用户访问单个应用程序服务器、SQL 数据库和 Azure 存储

Question

我想让我的 QA 团队对我们的 Web 应用程序的开发槽进行一些负载测试。我想为他们提供对开发槽应用程序服务及其关联的 SQL 数据库和 BLOB 存储的完全管理访问权限。我不希望他们对其他任何东西有任何管理访问权限。（我相信他们，但人们有时会点击错误的按钮。）

有办法做到这一点吗？如果是这样，怎么办？

此外，如果答案是将其放入不同的订阅中，我可以在订阅之间交换应用程序服务实例吗？

Answer 1

我希望我的 QA 团队在我们的网络应用程序的开发槽上进行一些负载测试。我想为他们提供对开发槽应用程序服务及其关联的 SQL 数据库和 BLOB 存储的完全管理访问权限。我不希望他们对其他任何东西有任何管理权限。（我相信他们，但人们有时会点击错误的按钮。）

要控制用户对特定资源的访问权限，请首先创建一个组并添加您需要授予访问权限的人员，然后创建自定义角色。

注意：您需要
Owner
或 User Access Administrator
角色来创建自定义 RBAC 角色。

对自定义角色的访问只能限制在以下级别：

management group

、

subscription

和

resource group

。

在您的场景中，将应用服务、SQL 数据库和 Blob 存储保留在单个资源组中，并在资源组级别创建自定义角色。

传送门：

第1步：
enter image description here

第2步：
enter image description here

在“权限”选项卡中，根据您的要求选择所有必需的权限，如下所示。

enter image description here

在

Assignable scopes

选项卡中，确保类型设置为资源组，然后选择查看 + 创建。

enter image description here

创建完成后，将进行验证，自定义角色创建成功。

注意：此自定义角色仅对您的资源组中存在的资源可见和访问。

现在您可以将此角色分配给您的用户组以访问 Web 应用程序、存储和 SQL 数据库。这将限制用户访问其他资源。

如果答案是将其放入不同的订阅中，我可以在订阅之间交换应用服务实例吗？

关于在订阅之间交换App Service实例，您可以参考此MS-Document来使用PowerShell脚本。

参考：
将资源移动到新的订阅或资源组 - Azure 资源管理器 |微软学习