我和我的团队正在处理属于不同团队的数百个订阅。 他们中的许多人在安全性、要使用的服务等方面有不同的需求,而我们作为一个中央平台,也确保每个人都使用相同的基线(安全性、监控、自动化等)。
我们当然需要处理 RBAC,并且我们经常使用自定义角色。我想知道是否有一种方法可以基于另一个角色创建自定义角色,以便从“经典继承”中受益。
因此,我可以创建一个名为“basic_user”的角色,其中包含一组“操作>”和“advanced_user”可以拥有“basic_user”访问权限以及其他访问权限,依此类推,“super_advanced_user”。
我知道 Microsoft 到目前为止采用了相反的设计方式,允许我们为给定的个人/组分配多个角色,但出于内部设计原因,我们希望坚持为给定的接收者分配一个角色(一个角色) AAD 组根据其角色包含所有人)。
这在技术上可行/可复制吗?或者有人听说过这样的功能吗?或者也许是因为您想要强调的某些原因我们不应该考虑?
最佳答案
您想要实现的功能目前不可用,因为您已经意识到这一点。但是,您可以直接通过此 link 发布有关此功能的信息。 。它将由 Microsoft 工程团队直接审核并做出回应。
关于Azure RBAC - 模块化和自定义角色继承,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64320000/