如何限制Azure中的active directory权限？_Azure_Active Directory_Terraform_Rbac

如何限制Azure中的active directory权限？

azure active-directory terraform

如何限制Azure中的active directory权限？,azure,active-directory,terraform,rbac,Azure,Active Directory,Terraform,Rbac,我希望为我们的Azure用户实现RBAC。我已经创建了各种Active Directory组（超级用户、管理员、成员）和锁定权限我正在寻找的一个权限是限制广告组成员资格仅由超级用户组成员更改有人能告诉我哪些行动和/或数据行动需要授权/限制吗如果相关的话，我是在地形上做的 resource "azuread_group" "superuser" { name = "Super User" } resource "azuerad_group" "team" { name = "Tea

我希望为我们的Azure用户实现RBAC。我已经创建了各种Active Directory组（超级用户、管理员、成员）和锁定权限

我正在寻找的一个权限是限制广告组成员资格仅由超级用户组成员更改

有人能告诉我哪些

行动

和/或

数据行动

需要授权/限制吗

如果相关的话，我是在地形上做的

resource "azuread_group" "superuser" {
  name = "Super User"
}

resource "azuerad_group" "team" {
  name = "Team"
}

resource "azurerm_role_definition" "superuser-add-user-to-team-group" {
  name = "Super User: add to team"
  scope = "${data.azurerm_subscription.current.id}"

  // It's this block I need the permissions for
  permissions {
    actions = ["*"]
    data_actions = ["*"]
  }

  assignable_scopes = [
    "${data.azurerm_subscription.current.id}" // @todo put in the scope for the Team AD Group
  ]
}

resource "azurerm_role_assignment" "assign-add-user-to-team-group-to-superuser-group" {
  scope = "${data.azurerm_subscription.current.id}"
  role_definition_id = "${azurerm_role_definition."superuser-add-user-to-team-group".id}"
  principal_id = "${azuread_group.superuser.id}"
}

广告组成员资格控制权限是Azure广告级别权限，而不是Azure RBAC。它们由目录角色控制。通常，必须将普通用户指定为组的所有者之一才能修改成员。我可以知道您要如何限制广告组成员吗？控制订阅中的资源还是仅控制Azure用户？