问题描述
目前,大多数用户都在Azure中被赋予了默认角色,例如Contributor或User。我们需要防止这种情况,只允许仅在AD组中添加用户。并且需要向这些组提供Azure访问(IAM)。我正在考虑为此使用Azure策略。但是在这方面找不到任何文档。
解决方法
不幸的是,截至今天(2020年10月20日),我不相信这在政策上是可行的。据我了解,Azure策略有意在Azure资源与任何与Azure Active Directory或RBAC相关的事物之间划清界限。 Azure策略旨在与角色和用户无关,但在deployIfNotExists策略中执行修复所需的角色除外。
https://docs.microsoft.com/en-us/azure/governance/policy/overview#azure-policy-and-azure-rbac