Networking

在 Azure 中,如何防止使用者創建網路介面卡但不修改它?

  • June 11, 2021

我想為使用者提供特定的 RBAC,以便他可以創建 NIC 但不能修改. 事實上,其目的是讓他沒有權限將動態ip更改為靜態ip並更改網卡的ip地址。

我檢查了NIC的 RBAC ,但似乎如果他有**Microsoft.Network/networkInterfaces/write權限,他可以創建網路介面或更新現有的網路介面**。所以這個 Rbac 沒有我想要的那麼詳細。 在此處輸入圖像描述 我也嘗試過授予所有權限,但沒有Microsoft.Network/networkInterfaces/read。在這種情況下,可以創建網卡,但我既看不到網卡的 ip,也看不到虛擬機的 ssh/rdp。所以這對我來說不是一個解決方案。

我檢查了內置的 Azure 策略,但沒有什麼能滿足我的需求。

任何的想法?

某人不可能擁有創建資源但不能編輯它的權限,因為它都包含在寫權限下。

最好的辦法是使用 Azure Policy 來定義一個不允許靜態 IP 地址的策略。

引用自:https://serverfault.com/questions/1066388