Azure Active Directory：如何自定義角色屬性以限制用戶訪問活動日志

問題描述

管理員有時需要根據(jù)組織的需求限制Azure AD用戶訪問特定資源的權限，本文描述的是如何而設置RBAC role以允許用戶讀取Azure Monitor中除活動日志以外的所有信息。

解決方法

用戶可以參考如下JSON模板修改自定義角色屬性，其中"Actions":["Microsoft.Insights/*/read"]允許用戶讀取所有Azure Monitor中的數(shù)據(jù)，"NotActions":["Microsoft.Insights/eventtypes/*"]在Actions中排除了對活動日志的所有訪問權限。

JSON

{

"Name":"Custom Role",

"Id":null,

"IsCustom":true,

"Description":"No access to Monitor/Activity Log",

"Actions":[

"Microsoft.Insights/*/read"

],

"NotActions":[

"Microsoft.Insights/eventtypes/*"

],

"AssignableScopes":[

"/subscriptions/<xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx>"

]

}

使用JSON模板更新自定義用戶角色后，被授予該角色的用戶訪問資源的活動日志時，會查看到如下顯示“No permissions to run the selected query”。

由于該用戶對活動日志的訪問權限限制，因此沒有權限運行針對該資源活動日志的篩選查詢，而得到如下返回結(jié)果：