问题描述
我的组织希望只允许将组添加到 Azure 资源而不是用户。看看内置的策略,似乎没有办法在本地限制它。那么,有没有办法通过自定义策略来做到这一点?还是通过其他方式?
解决方法
感谢您提出有趣的问题:)
我认为要走的路是通过您所说的政策。创建将拒绝任何用户角色分配的策略。
{
"mode": "All","policyRule": {
"if": {
"allOf": [
{
"field": "type","equals": "Microsoft.Authorization/roleAssignments"
},{
"field": "Microsoft.Authorization/roleAssignments/principalType","equals": "User"
}
]
},"then": {
"effect": "deny"
}
},"parameters": {}
}
然后将此策略分配给您需要的订阅。
https://docs.microsoft.com/en-us/azure/templates/microsoft.authorization/roleassignments?tabs=json