ロジック アプリ、関数アプリ、機械学習ワークスペース、Azure ストレージを含むリソース グループがあります。クライアントには、dev および admin カテゴリに分類される一連のユーザーがいます。開発者には削除アクセス権がなく、管理者にはすべてのアクセス権があります。サービスごとにロールを作成し、リソース レベルで割り当てる必要がありますか? (それが私が現在行っていることです) または、2 つのロールを作成してリソース グループ レベルで割り当てる必要がありますか? 寄稿者ロールを複製し、関数アプリ レベルでカスタム寄稿者ロールを使用して開発サービス プリンシパルを追加しました。したがって、開発サービスの原則に該当するユーザーは、Function App にのみアクセスできます。
リソース グループ内にデプロイされたすべてのリソースに対する削除アクセス許可のない inbuild ロールはありますか?
notActionsで特定のリソース プロバイダー操作を設定してカスタム ロールを作成し、それらをリソース グループ レベルで割り当てることができます。
たとえば、開発者にストレージと Web アプリを削除させたくない場合は、次のようにカスタム ロールを設定できます。
寄稿者を複製します。
Microsoft.Web/sites/DeleteandMicrosoft.Storage/storageAccounts/deleteをnotActionsに入れます。
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Web/sites/Delete",
"Microsoft.Storage/storageAccounts/delete"
],
カスタム ロールを作成したら、それをリソース グループ レベルで開発者に割り当てます。