Networking
在 Azure 中,如何防止使用者創建網路介面卡但不修改它?
我想為使用者提供特定的 RBAC,以便他可以創建 NIC 但不能修改. 事實上,其目的是讓他沒有權限將動態ip更改為靜態ip並更改網卡的ip地址。
我檢查了NIC的 RBAC ,但似乎如果他有**
Microsoft.Network/networkInterfaces/write
權限,他可以創建網路介面或更新現有的網路介面**。所以這個 Rbac 沒有我想要的那麼詳細。 我也嘗試過授予所有權限,但沒有Microsoft.Network/networkInterfaces/read
。在這種情況下,可以創建網卡,但我既看不到網卡的 ip,也看不到虛擬機的 ssh/rdp。所以這對我來說不是一個解決方案。我檢查了內置的 Azure 策略,但沒有什麼能滿足我的需求。
任何的想法?
某人不可能擁有創建資源但不能編輯它的權限,因為它都包含在寫權限下。
最好的辦法是使用 Azure Policy 來定義一個不允許靜態 IP 地址的策略。