Я хочу предоставить пользователю специальный RBAC , чтобы он может создавать сетевую карту, но не может изменять . Фактически, это нацелено на то, чтобы у него не было разрешения на изменение динамического IP-адреса на статический IP-адрес и изменение IP-адреса сетевой карты.
Я проверил RBAC сетевой карты , но похоже, что, если у него есть Microsoft.Network/networkInterfaces/write
разрешение , он может создать сетевой интерфейс или обновить существующий сетевой интерфейс . Так что этот Rbac не так подробен, как мне хотелось бы.
Я также пытался предоставить все разрешения, но не Microsoft.Network/networkInterfaces/read
. В этом случае сетевая карта может быть создана, но я не вижу ни IP-адреса nic, ни ssh / rdp для виртуальной машины. Так что это не решение для меня.
Я проверил встроенные политики Azure, но ничего подходящего мне не подходит.
Есть идеи?
Кто-то не может иметь разрешения на создание ресурса, но не на его редактирование, поскольку все это содержится в разрешении на запись.
Лучше всего использовать политику Azure для определения политики, не допускающей статических IP-адресов.