资源组的Azure访问控制

我在我的公司有一个订阅，该订阅为团队的所有成员（所有员工）共享。 我们将此订阅用于测试、开发和生产工作负载。 由于我们的MS合作关系，我们只有一个订阅，因为它是赞助订阅，所以我们不想创建其他订阅

我想限制对特定资源组的访问，该资源组将承载生产资源，并在其中管理合理的数据。 因为团队的所有成员都是订阅级别的参与者，所以他们可以访问所有资源组，我无法将他们从资源组中删除。 那么，如果我想撤销他们对资源组的访问并允许他们使用所有其他资源组，我该如何继续

那么，如果我想撤销他们对资源的访问权，我该如何继续 组并允许他们使用所有其他资源组

这样做的唯一方法是删除订阅级别的用户角色（参与者），并将其分配到每个资源组（生产资源组除外）。如果用户在订阅级别具有更高的角色（如参与者），则不能在资源组级别分配较低的角色（如读者）

基本上，在Azure RBAC中，当您在父作用域授予访问权限时，这些权限将继承给子作用域

您可以在此处阅读有关Azure RBAC的更多信息：