我对Azure资源块有疑问。通过向资源添加只读锁或非删除锁,当您点击删除时,将无法删除该锁。因此,我的问题是,所有者可以移除该锁吗?是否有可能使所有者也无法移除该锁?
kjthegm61#
要创建或删除管理锁,您必须具有Microsoft.Authorization/*或Microsoft.Authorization/locks/*操作的访问权限。在内置角色中,只有所有者和用户访问管理员被授予这些操作。来源:Lock resources to prevent unexpected changes - Who can create or delete locks。简而言之,答案是否定的。此外,owner是Azure中最有特权的角色,因为它赠款管理所有资源的完全访问权限,包括在Azure RBAC中分配角色的能力。来源:Azure内置角色-全部。如果你正在根据Principal of Least Privilege工作,则应限制Azure订阅的所有者数量。所有者角色授予管理所有资源的完全访问权限,包括在Azure RBAC中分配角色的能力。你最多应拥有3个订阅所有者,以降低被泄密所有者破坏的可能性。
Microsoft.Authorization/*
Microsoft.Authorization/locks/*
owner
1条答案
按热度按时间kjthegm61#
谁可以创建或删除锁定
要创建或删除管理锁,您必须具有
Microsoft.Authorization/*
或Microsoft.Authorization/locks/*
操作的访问权限。在内置角色中,只有所有者和用户访问管理员被授予这些操作。来源:Lock resources to prevent unexpected changes - Who can create or delete locks。
简而言之,答案是否定的。
此外,
owner
是Azure中最有特权的角色,因为它赠款管理所有资源的完全访问权限,包括在Azure RBAC中分配角色的能力。
来源:Azure内置角色-全部。
如果你正在根据Principal of Least Privilege工作,则应限制Azure订阅的所有者数量。
所有者角色授予管理所有资源的完全访问权限,包括在Azure RBAC中分配角色的能力。你最多应拥有3个订阅所有者,以降低被泄密所有者破坏的可能性。