如果 Azure 用户拥有订阅的贡献者权限,并且他们在该订阅下创建了资源,例如一个存储帐户。是否应该自动授予该用户对该资源的所有者权限?然后他们将能够管理谁拥有哪些权限。 IE。在访问控制 (IAM) 中添加/删除角色分配。
我注意到在我的企业租户中,贡献者无法修改他们创建的资源的权限。但我无法完全确定这是否是 Azure 中的默认行为,或者是否是我们制定的策略。
从我对 Chat GPT 和 Bing Chat 的查询来看,他们认为资源的创建者拥有所有者权利,但他们无法引用该资源的引用。
最佳答案
If an Azure user has Contributor rights to a Subscription and they create a resource under that subscription e.g. a Storage Account.Should that user be automatically granted owner rights over theresource?
如果您在订阅级别具有贡献者角色,则可以授予完全访问权限来管理订阅中的所有资源。但是,您无法向资源分配RBAC角色,例如所有者、贡献者和读者。此行为是 Azure 中的默认行为。
默认情况下,贡献者可以创建和管理所有类型的 Azure 资源,但他们无法向其他人授予访问权限。仅当他们被授予资源的所有者角色时,他们才能授予对其创建的资源的访问权限。
我在订阅上拥有贡献者角色,并创建了虚拟机规模集,但我无法将 RBAC 角色分配给 VMSS
请参阅Microsoft Document更多关于
Azure role-based access control (RBAC)
Understand role assignments
关于Azure - 资源的创建者是否应该拥有所有者权利?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/76214532/