【发布时间】:2023-02-11 14:38:38
【问题描述】:
我对 Azure 资源块有疑问。通过向资源添加只读或非删除锁,当您点击删除时,它无法被删除。所以我的问题是,所有者可以删除该锁吗?有没有可能让主人也无法取下锁?
【问题讨论】:
【发布时间】:2023-02-11 14:38:38
【问题描述】:
谁可以创建或删除锁
要创建或删除管理锁,您必须有权访问
Microsoft.Authorization/*或Microsoft.Authorization/locks/*操作。在内置角色中,只有所有者和用户访问管理员被授予这些操作。来源:Lock resources to prevent unexpected changes - Who can create or delete locks。
简而言之:答案是否定的。
此外,owner是 Azure 中最具特权的角色,因为它授予管理所有资源的完全访问权限,包括在 Azure RBAC 中分配角色的能力。
来源:Azure built-in roles - All。
如果您按照Principal of Least Privilege 工作,则应限制 Azure 订阅的所有者数量。
所有者角色授予管理所有资源的完全访问权限,包括在 Azure RBAC 中分配角色的能力。您最多应该有 3 个订阅所有者,以减少被入侵所有者破坏的可能性。
【讨论】: