阻止RBAC继承

Question

我正在Azure中创建订阅，并分配了许多RBAC角色:托管团队和项目团队。托管团队应该拥有对所有内容的完全访问权限，项目团队应该拥有对所有内容的完全访问权限，除非有一些例外，例如，不能访问“网络”资源组(尽管他们可以创建自己的包含网络的资源组)。我们在订阅级别设置了项目团队的RBAC所有者，但这样做还允许他们完全管理受限制的区域。

原则上，Azure门户中的“拒绝”分配将满足我们的需求，但它们目前仅适用于Azure蓝图。有什么想法吗？

Answer 1

块继承还不存在，您唯一的选择就是仔细地设计和创建自定义的rbac角色，或者仔细地创建内置的角色(所以，永远不会在子级别上，只在资源组级别上)。

或者使用Azure蓝图，似乎他们在那里添加了对此的支持。