Azure部署插槽RBAC

Question

我需要对Azure WebApp及其部署位置上的不同用户（或组）提供不同级别的访问权限。

1. 如果我授予用户仅访问部署位置的权限，则无法在Azure管理门户上看到它。

2. 如果我将用户访问为＆＃34; Reader＆＃34;对于整个Web应用程序，他可以更改应用程序设置（不应该发生）

3. 如果我将用户访问为＆＃34; Reader＆＃34;整个网络应用程序和＃34;所有者＆＃34;对于特定的插槽，他可以更改应用程序设置，他可以交换LIVE应用程序（两者都不应该发生）

有人可以向我解释如何给予＃34;所有者＆＃34;仅限部署位置而不是整个应用程序？ 谢谢！

Answer 1

我将解决以下3个问题

如果我授予用户仅访问部署插槽的权限，则他无法在Azure管理门户上看到它

这是一个门户网站错误（它将得到修复）。幸运的是，有一种解决方法并不太痛苦：

• 以所有者身份登录后，转到门户网站中的插槽。 URL将如下所示：

https://portal.azure.com/#resource/subscriptions/{sub}/resourceGroups/{ResourceGroup}/providers/Microsoft.Web/sites/{AppName}/slots/{SlotName}

• 复制网址并将其发送给您的用户
• 即使他们无法访问Web App，他们也可以直接进入插槽。他们甚至可以将它“固定”到他们的仪表板上，这样他们下次就可以轻松找到它而无需返回链接。

如果我将用户作为“读者”访问整个网络应用程序，他可以更改应用程序设置

由于另一个Portal错误它只是看起来那样，但他们真的不能。 e.g。

• 他们将无法看到任何当前设置
• 如果他们改变某些东西，就说Save是成功的，但实际上没有任何反应

Portal团队了解它并将解决它。但安全方面，它是无害的。

如果我将用户作为“Reader”访问整个Web应用程序并作为“所有者”访问特定插槽，他可以交换实时应用程序

这听起来像个错误，我会报告。好抓！

好消息是，如果你不给他们读者访问Web App，他们将无法做到这一点。所以，只需使用我在第一个问题中描述的技术，一切都应该适用于你的场景