我们要求尽可能在技术上可行的情况下锁定Azure环境。通过使用“Invoke-AzVMRunCommand”Powershell cmdlet,我们的一些用户能够远程执行位于多个抽象层后面的VM上的代码。我已经查看了自定义IAM角色,以查看是否可以找到负责此操作的权限,但我只能找到与Azure自动化相关的权限。我不确定这福尔斯不算。
有人知道哪些权限可以有效地禁用此cmdlet吗?
谢谢
我已经创建了具有不同权限级别的自定义IAM角色,但我希望关闭此cmdlet的特定权限,而不是一次删除多个权限。
1条答案
按热度按时间unftdfkk1#
回答我自己的问题,我终于找到了相关的文档:https://learn.microsoft.com/en-us/azure/virtual-machines/windows/run-command
限制对运行命令的访问列出运行命令或显示命令的详细信息需要订阅级别上的Microsoft.Compute/locations/runCommands/read权限。内置的Reader角色和更高级别具有此权限。运行命令需要Microsoft.Compute/virtualMachines/runCommand/action权限。虚拟机参与者角色和更高级别具有此权限。您可以使用内置的或创建自定义角色以使用运行命令。