问Azure资源组访问

EN

当你为Azure创建新用户时，他们对任何订阅都没有任何权限，登录到门户将呈现一个没有资源的空视图。

如果您向该用户添加了读取权限，则他们将能够读取订阅中的任何资源，但不能修改任何内容。不出所料。拥有订阅的读取权限后，他们将无法创建任何内容、资源组或其他内容。

如果该用户仅被授予对资源组的权限，而对订阅没有权限，则他们只能看到他们在其中具有权限的资源组。然后，他们将拥有在该组中被授予的任何权限。

在表面之下，每个贡献者和读者角色都有"Microsoft.Resources/subscriptions/resourceGroups/read"操作，这意味着任何具有任何贡献者或读者角色的人都可以看到所有资源组。

没有显式定义resourceGroups/write或resourceGroups/*权限的内置角色。

隐式应用了该权限的组是contributer和owner，这两个组都应用了"*"。

这意味着只有贡献者和所有者才能在订阅中创建资源组。

可以创建拒绝resourceGroup/write的自定义角色

因此，为了回答您的问题，要将用户限制为只能查看特定的资源组，请确保他们在订阅级别没有任何访问权限(此级别的任何访问权限都将允许他们查看资源组)，并仅将权限应用于您希望他们看到的资源组。

将用户添加到这些资源组中的参与者角色。

转到资源组，然后打开访问控制(IAM)，并将用户添加到参与者角色。对每个资源组重复此操作。

例如，我在一个订阅中有10个资源组，其中用户应该只能访问用户可以执行其操作的3个资源组。

通过以下步骤可以实现上述功能

1. 将用户添加到订阅。不要在订阅级别为此用户分配任何角色。
2. 通过角色分配将该用户作为参与者添加到选定的三个资源组(在访问控制(IAM)中)属性。

以上两个配置将使用户只能查看和操作显式的三个资源组，其他资源组将不会出现在Azure门户中。

最佳做法是将用户添加到安全组，并将安全组分配给角色。