问使用ARM策略限制用户访问资源组

EN

我还没有用策略管理过这么高级的东西。通常仅通过在Reader角色中分配其prod资源组访问权限来实现。从治理的角度来看，您可以始终编写Azure Automation脚本，定期检查每个组中的用户，并将任何开发用户降级为prod资源组的Reader。

1. ARM策略用于执行限制等操作，以便在特定数据中心/区域中创建资源，或者在不包含任何特定标签的情况下限制资源创建。

1. 我能想到的最好的方法是为你的用户使用基于角色的访问控制，这些用户被添加到你的产品RG中，以满足你的需求。YOu只能在prodRG中为他们分配读者角色，并从中创建自定义角色，其中这些用户将没有资格删除或修改prodRG中的任何资源。

希望这能有所帮助！