问题描述
我正在寻求创建一个自定义角色,该角色允许某人仅触发Azure功能(我想他们也需要足够的权限才能看到它),
我一直在查看动作列表here,但我没有看到任何立即跳出来的动作是正确的动作。
这种情况的用例是允许其他订阅中的其他人(也包括程序用户)在创建警报的操作组(例如,监视器或应用程序见解)时具有将Azure功能用作操作的权限。
解决方法
RBAC角色无法为您执行此操作(允许某人仅触发Azure功能)。
它用于限制用户(或服务主体)访问Azure资源。例如:microsoft.web/sites/functions/read
角色可让您获取Web Apps功能。 microsoft.web/sites/functions/write
角色可让您更新Web Apps功能。
没有一个好的选择可以满足您的要求。但是,为了限制用户使用功能应用程序(触发Azure功能),应考虑配置授权级别和应用程序服务身份验证。
授权级别控制该功能是否需要API密钥以及使用哪个密钥;功能使用功能键;管理员使用您的主密钥。选择功能后,可以在门户网站的“键”管理面板中找到功能键和主键。对于基于用户的身份验证,请转到“功能应用程序设置”。
配置应用程序服务身份验证后,您将需要访问令牌才能触发功能应用程序。 Azure AD Authentication example供您参考。
通过这种方式,您无需为用户分配任何RBAC角色。