【发布时间】:2022-06-28 18:56:19
【问题描述】:
我希望授予给定 AD 组中的用户对生产环境的开发工具 > 控制台功能的访问权限。我相信这是Kudu permission granted by assigningMicrosoft.Web/sites/publish/Action。
如果不授予组成员发布网站的权限,这是否可行?
【问题讨论】:
标签: azure-devops azure-active-directory kudu
【发布时间】:2022-06-28 18:56:19
【问题描述】:
无法授予群组成员发布网站的权限。
microsoft 文档中明确指出您需要 microsoft.web/sites/publish/action 资源提供程序操作。
拥有 Kudu 访问权限的人是该网站的所有者 - 无论是否 只读与否。为了扩展,他们可以部署任何代码(好的或 恶意)并能够读取网站的任何秘密设置(例如。 KeyVault、SQL 和存储凭证、私有证书等)。 因此,对于 Azure,只有那些具有贡献者/所有者访问权限的人(将 确切地说,使用 microsoft.web/sites/publish/action 或者,对于插槽, microsoft.web/sites/slots/publish/action) 可以访问 Kudu (SCM)。
请参阅此document 了解更多信息。
【讨论】: