0
據我所知,在azure中創建角色時只能在可定義的範圍內使用它們。在新的訂閱中,我將無法調用角色或分配它。在Azure中創建全局角色?
如果我要在當前訂閱中創建一個具有相同名稱的新角色,則它會因角色已存在而引發錯誤。
有沒有辦法解決這個問題?
據我所知,在azure中創建角色時只能在可定義的範圍內使用它們。在新的訂閱中,我將無法調用角色或分配它。在Azure中創建全局角色?
如果我要在當前訂閱中創建一個具有相同名稱的新角色,則它會因角色已存在而引發錯誤。
有沒有辦法解決這個問題?
所以,我不認爲你是正確的。
「自定義角色存儲在Azure AD租戶中,並且可以跨所有使用該租戶作爲訂閱的Azure AD目錄的訂閱共享。」
因此,您可以在承租人擁有的所有訂閱中分配該角色。如此有效,這意味着您不必爲每位租戶的訂閱重新創建角色。如果將訂閱分配給不同的承租人,則可以爲每個承租人創建具有相同名稱的自定義角色。
https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-custom-roles
如果您查看Assignable作用域部分。我的理解是,你只能將它分配給在那裏定義的範圍。 「自定義角色的AssignableScopes屬性指定自定義角色可用於分配的範圍(預訂,資源組或資源)」。 我已經測試過使用角色,而不是在可指定範圍中定義的範圍之外的範圍無效。 – nwarriorch
那麼最新的問題,修改可分配的範圍? – 4c74356b41
,但在我們的實踐中,我們爲每個訂閱創建一個角色,並將其稱爲角色SUBGUID,並且只能在該訂閱中分配@nwarriorch – 4c74356b41