問題タブ [azure-rbac]

ユーザーがリソース グループを作成できるようにするには、どのロールをユーザーに割り当てることができますか? 所有者または寄稿者は強力すぎるため、使用できません。全体のポイントは、さまざまな開発者ができることを制限することです。

たとえば、当社の開発チームは、データベースを使用して Web アプリを作成し、Azure にデプロイします。これらのリソースは、1 つのリソース グループに配置されます。そのため、開発者はアプリ サービス、アプリ サービス プラン、SQL データベース、アプリ インサイト、およびリソース グループを作成する必要があります。しかし、すべての開発者が Azure の他の多くのリソースにアクセスできるようにしたくはありません。これが、寄稿者または所有者が強力すぎる理由です。

また、参考までに、パイプラインによって展開される ARM テンプレートに向けて取り組んでいますが、それにはしばらく時間がかかります。そのため、その間、一部は手動で行われます。

これらはすべて、リソース グループを除く RBAC で可能と思われます。

ありがとう、

アンディ

Azure Service Bus QueueアプリケーションからアクセスしようとしていWindows Serviceます。私はこのサンプルに従っています。

Azure Service Busこれを使用して保護したいAzure Service Principal 以下は、私が実装した手順です

1. 私の代理で名前が付けpc-shutdown-producerられたアプリケーションを登録するAzure AdWindows Service
2. service bus namespace名前付きの Azure を作成しましたshutdowncomputer
3. 内部に、以下の値 Access control (IAM)を追加しましたRole Assignment
   • 役割 -Azure Service Bus Data Owner
   • アクセスを割り当てる -pc-shutdown-producer

上記の私の知識によると、構成により、pc-shutdown-producerアプリケーションはサービスバス名前空間内のすべてのリソースを管理できます。4. これとは別にpc-shutdown-producer、サービス バスの名前空間にアクセスするための委任された API アクセス許可も提供しました。

以下は私のC＃コードです。

を実行するInit()と、以下の例外メッセージが表示されます。

Unauthorized access. 'Send' claim(s) are required to perform this operation. Resource: 'sb://shutdowncomputer.servicebus.windows.net/shutdownrequest'. TrackingId:52c0eedcf19d4513a8ec105943859764_G12, SystemTracker:gateway7, Timestamp:2020-05-11T06:59:01

更新 1

@Carl Zhao の提案に従って、管理者に同意を提供しましpc-shutdown-producerたが、まだ同じ問題が発生しています。

ありがとう

一部のプロセスを自動化するために、RunAsAccount の所有者権限を持つAzure Automationを使用しています。

スクリプトを実行するたびにエラーがスローされます。

この問題を解決するためのアイデアはありますか?