如何在没有订阅权限的情况下授予对资源组的访问权以部署服务？

Question

在这个场景中，我为一个天蓝色租户中的几个项目托管了几个资源。此外，我有多个azure订阅，每个项目具有相应的资源组：

• ->资源组A -> VMs，DNS，Bastion主机.项目A
• ->资源组B -> VMs，DNS，Bastion主机项目B
• .C=‘C 2’> ->资源组C ->虚拟机，域名系统，基站主机.项目C

在Azure中，我希望创建像Project A、Project B、Project C这样的组，并将角色权限授予专用资源组。

但不幸的是，如果我授予角色Contributor，这也包括订阅添加新服务的权限。我只想让他们管理他们的资源(通过堡垒主机访问vm )，而不授予他们添加新服务的权限。

Answer 1

我们可以通过两种方式限制用户不要在资源组中创建资源，

1. 您可以将贡献者权限授予每个单独的资源，这样用户就不能创建新的资源，只能修改现有的资源(他将能够删除资源)。
2. 指定贡献者访问权限的RBAC和AzurePolicy.The用户组合可以访问其资源组中的所有资源。在Azure政策中，您可以使用允许的资源类型等策略，而不是允许的资源类型，允许的位置将使您能够指定组织可以部署的资源类型。

有一个类似的场景，您可以在这里找到。