我想找到或创建一个与所有者或至少与贡献者具有相同功能的天蓝色角色。但是该角色不应具有创建天蓝色资源的权限。
我已经经历了存在的预定义角色。
答案 0 :(得分:1)
这在Azure RBAC上下文中没有任何意义。您不能编辑但不能创建资源,因为该资源受同一权限resource/write
的支配。
您可以通过具有除写操作外可以执行任何操作的角色来实现类似的目的,但这意味着它无法编辑资源,而这可能不是您所追求的。
从技术上讲,您可以为每个单独的资源授予贡献者权限,这样用户将无法创建新资源,而只能修改现有资源(他将能够删除资源)。
答案 1 :(得分:0)
我有相同的要求,我设法以贡献者角色为基础并添加了
"Microsoft.Resources/*/write"
在角色JSON配置的 notActions 部分中。
它的作用是阻止部署。每个资源创建都是一个部署。
据我测试,对资源的每个“编辑”操作均有效,甚至为Web Apps创建了部署槽,但也可以根据需要禁用它。