我们需要在技术上尽可能地锁定我们的 Azure 环境。使用“Invoke-AzVMRunCommand”Powershell cmdlet,我们的一些用户能够在多个抽象层后面的 VM 上远程执行代码。我查看了自定义 IAM 角色,看看是否可以找到对此负责的权限,但我只能找到与 Azure Automation 相关的权限,我不确定这是否属于它。
有人知道哪种权限可以有效禁用此 cmdlet 吗?
谢谢
我已经创建了具有不同级别权限的自定义 IAM 角色,但我希望关闭此 cmdlet 的特定权限,而不是一次全面删除多个权限。
回答我自己的问题,我终于找到了相关文档:https://learn.microsoft.com/en-us/azure/virtual-machines/windows/run-command
限制对运行命令的访问 列出运行命令或显示命令的详细信息需要订阅级别的 Microsoft.Compute/locations/runCommands/read 权限。内置读者角色和更高级别具有此权限。 运行命令需要 Microsoft.Compute/virtualMachines/runCommand/action 权限。虚拟机参与者角色和更高级别具有此权限。 您可以使用其中一个内置角色或创建自定义角色来使用 Run Command。