拒绝向用户分配任何现有自定义角色的Azure策略

wljmcqd8  于 2023-01-02  发布在  其他
关注(0)|答案(1)|浏览(97)

作为Azure治理的一部分,我希望拒绝所有成员(所有者)将现有自定义角色分配给订阅或资源组级别的任何用户。我想知道这是否可能。如果可能,策略是什么?
我实现了一个拒绝自定义角色创建的策略,在这里看到了相同的策略(Azure Policy not denying Custom Role creation),但是,我的需求可能是类似于此策略的一个附加组件。

bvuwiixz

bvuwiixz1#

我已尝试在我的环境中重现相同内容,以阻止Azure AD用户访问自定义角色:

我创建了自定义角色,如下所示。

Azure门户〉订阅〉你的订阅〉访问控制(IAM)〉添加〉添加自定义角色:

已创建自定义角色。

创建阻止向Azure AD用户分配访问权限的策略。
Azure门户〉Azure策略〉定义〉策略定义〉

政策代码:

添加自定义重定义ID以仅阻止自定义角色。

{
  "mode": "All",
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "Microsoft.Authorization/roleAssignments/roleDefinitionId",
          "contains": "XXXXXX-29dd-4688-8c34-9d035095c507"
        },
        {
          "field": "type",
          "equals": "Microsoft.Authorization/roleAssignments"
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  },
  "parameters": {}
}

将策略分配到范围级别,如下所示。

Azure策略〉定义〉选择策略〉分配

如果我尝试在订阅级别上分配自定义角色,则在用户具有所有者角色的情况下出现以下错误。

用户对订阅具有所有者角色访问权限

参考:Azure custom role: authorize role assignment for a specific set of roles:随后:用户2761155。

相关问题