Как запретить пользователю создавать карту сетевого интерфейса в Azure, но не изменять ее?

Я хочу предоставить пользователю специальный RBAC , чтобы он может создавать сетевую карту, но не может изменять . Фактически, это нацелено на то, чтобы у него не было разрешения на изменение динамического IP-адреса на статический IP-адрес и изменение IP-адреса сетевой карты.

Я проверил RBAC сетевой карты , но похоже, что, если у него есть Microsoft.Network/networkInterfaces/write разрешение , он может создать сетевой интерфейс или обновить существующий сетевой интерфейс . Так что этот Rbac не так подробен, как мне хотелось бы. Я также пытался предоставить все разрешения, но не Microsoft.Network/networkInterfaces/read . В этом случае сетевая карта может быть создана, но я не вижу ни IP-адреса nic, ни ssh / rdp для виртуальной машины. Так что это не решение для меня.

Я проверил встроенные политики Azure, но ничего подходящего мне не подходит.

Есть идеи?