管理員有時(shí)需要根據(jù)組織的需求限制Azure AD用戶訪問特定資源的權(quán)限,本文描述的是如何而設(shè)置RBAC role以允許用戶讀取Azure Monitor中除活動(dòng)日志以外的所有信息��。
問題描述
管理員有時(shí)需要根據(jù)組織的需求限制Azure AD用戶訪問特定資源的權(quán)限����,本文描述的是如何而設(shè)置RBAC role以允許用戶讀取Azure Monitor中除活動(dòng)日志以外的所有信息。
解決方法
用戶可以參考如下JSON模板修改自定義角色屬性�����,其中"Actions":["Microsoft.Insights/*/read"]允許用戶讀取所有Azure Monitor中的數(shù)據(jù)���,"NotActions":["Microsoft.Insights/eventtypes/*"]在Actions中排除了對活動(dòng)日志的所有訪問權(quán)限���。
JSON
{
"Name":"Custom Role",
"Id":null,
"IsCustom":true,
"Description":"No access to Monitor/Activity Log",
"Actions":[
"Microsoft.Insights/*/read"
],
"NotActions":[
"Microsoft.Insights/eventtypes/*"
],
"AssignableScopes":[
"/subscriptions/<xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx>"
]
}
使用JSON模板更新自定義用戶角色后,被授予該角色的用戶訪問資源的活動(dòng)日志時(shí)��,會(huì)查看到如下顯示“No permissions to run the selected query”。
由于該用戶對活動(dòng)日志的訪問權(quán)限限制���,因此沒有權(quán)限運(yùn)行針對該資源活動(dòng)日志的篩選查詢��,而得到如下返回結(jié)果:
立即登錄�����,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Microsoft Azure����,本站不擁有所有權(quán)����,不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn)�,不代表快出海對觀點(diǎn)贊同或支持。如有侵權(quán)��,請聯(lián)系管理員(zzx@kchuhai.com)刪除��!
閩公網(wǎng)安備 35010202001226號
