我想为用户提供特定的 RBAC,以便他可以创建 NIC 但不能修改. 事实上,目的是让他没有权限将动态ip更改为静态ip并更改网卡的ip地址。
我检查了NIC的 RBAC ,但似乎如果他有Microsoft.Network/networkInterfaces/write权限,他可以创建网络接口或更新现有的网络接口。所以这个 Rbac 没有我想要的那么详细。
我也尝试过授予所有权限,但没有Microsoft.Network/networkInterfaces/read。在这种情况下,可以创建网卡,但我既看不到网卡的 ip,也看不到虚拟机的 ssh/rdp。所以这对我来说不是一个解决方案。
我检查了内置的 Azure 策略,但没有什么能满足我的需求。
任何想法?
我正在寻找使用基础架构即代码创建许多 Azure 策略。
MS 文档建议的结构如下:
.
|
|- policies/ ________________________ # Root folder for policy resources
| |- policy1/ ______________________ # Subfolder for a policy
| |- policy.json _________________ # Policy definition
| |- policy.parameters.json ______ # Policy definition of parameters
| |- policy.rules.json ___________ # Policy rule
| |- assign.<name1>.json _________ # Assignment 1 for this policy definition
| |- assign.<name2>.json _________ # Assignment 2 for this policy definition
| |- policy2/ ______________________ # Subfolder for a policy
| |- policy.json _________________ # Policy definition
| |- policy.parameters.json ______ # Policy definition of parameters
| |- policy.rules.json ___________ # Policy rule
| |- assign.<name1>.json _________ # Assignment 1 for this policy definition
| |- assign.<name2>.json _________ # Assignment 2 for this policy definition
|
这是有道理的,但我见过的所有策略定义示例都包括参数定义;policy.parameters.json所以如果只是复制信息,我看不到拥有单独文件的价值。
有没有办法避免这种重复?例如,通过让policy.json文件引用policy.parameters.json文件而不是复制其内容,或者通过这种复制是否增加了一些价值?
(规则文件也会出现同样的情况;我假设该部分的答案是相同的......)
从 Azure 社区策略存储库:
策略文件包括以下几行:
"parameters": {
"tagName": {
"type": "String",
"defaultValue": "DateCreated",
"metadata": {
"displayName": "Tag Name",
"description": "Name of the tag, such as 'Date'"
}
}
}
参数文件完全复制了在上面的参数部分找到的内容(几乎;在这种情况下,描述略有不同,但这感觉像是一个错误而不是一个理由):
{
"tagName": {
"type": "String",
"defaultValue": "DateCreated",
"metadata": {
"displayName": "Tag Name",
"description": "Name of the tag, such as 'DateCreated'"
}
}
}