在 Azure 中，如何防止使用者創建網路介面卡但不修改它？

我想為使用者提供特定的 RBAC，以便他可以創建 NIC 但不能修改. 事實上，其目的是讓他沒有權限將動態ip更改為靜態ip並更改網卡的ip地址。

我檢查了NIC的 RBAC ，但似乎如果他有**Microsoft.Network/networkInterfaces/write權限，他可以創建網路介面或更新現有的網路介面**。所以這個 Rbac 沒有我想要的那麼詳細。 我也嘗試過授予所有權限，但沒有Microsoft.Network/networkInterfaces/read。在這種情況下，可以創建網卡，但我既看不到網卡的 ip，也看不到虛擬機的 ssh/rdp。所以這對我來說不是一個解決方案。

我檢查了內置的 Azure 策略，但沒有什麼能滿足我的需求。

任何的想法？

某人不可能擁有創建資源但不能編輯它的權限，因為它都包含在寫權限下。

最好的辦法是使用 Azure Policy 來定義一個不允許靜態 IP 地址的策略。

引用自：https://serverfault.com/questions/1066388