Azure部署槽RBAC

我需要为Azure WebApp及其部署槽上的不同用户（或组）提供不同级别的访问权限

如果我只给用户一个部署槽的访问权，他就无法在Azure管理门户上看到它

如果我让用户以“阅读器”的身份访问整个web应用程序，他可以更改应用程序设置（这是不应该发生的）

如果我以“阅读器”的身份授予用户访问整个web应用程序的权限，并以“所有者”的身份授予用户访问特定插槽的权限，则他可以更改应用程序设置，也可以交换LIVE应用程序（这两种情况都不应发生）

有人可以向我解释如何只对部署槽而不是整个应用程序授予“所有者”权限？

---

谢谢

我将回答下面的3个问题

如果我只给用户一个部署槽的访问权，他就无法在Azure管理门户上看到它 这是一个门户错误（它将得到修复）。幸运的是，有一个解决办法并不太痛苦：

• 以所有者身份登录时，转到门户中的插槽。URL将如下所示：

https://portal.azure.com/#resource/subscriptions/{sub}/resourceGroups/{ResourceGroup}/providers/Microsoft.Web/sites/{AppName}/slots/{SlotName}

• 复制URL并将其发送给您的用户
• 然后，即使他们无法访问Web应用程序，也可以直接进入插槽。他们甚至可以将它“固定”到仪表板上，这样下次就可以轻松找到它，而无需返回链接

如果我让用户作为“阅读器”访问整个web应用程序，他可以更改应用程序设置 由于另一个门户错误，它看起来是这样的，但他们真的不能。e、 g

• 他们将无法看到任何当前设置
• 如果他们改变了什么，它说保存是成功的，但事实上什么都没有发生

门户团队意识到这一点，并将解决这一问题。但就安全而言，这是无害的

如果我让一个用户以“阅读器”的身份访问整个web应用程序，并以“所有者”的身份访问某个特定的插槽，他可以交换LIVE应用程序 这听起来像一个错误，我会报告它。接得好

---

好消息是，如果你不给他们Web应用的读者访问权限，他们将无法做到这一点。因此，只需使用我在第一个问题中描述的技术，就可以在您的场景中正常工作

如果是这种情况，那么几乎可以肯定这是一个您应该向MS提出的错误（而且是一个非常重要的错误）-我很想复制它，但是现在没有时间。链接到MSDN上的同一个问题以供交叉参考：非常感谢David！我已经找到了完整的链接解决方法，但是您的解释帮助我定义了正确的用户管理策略！这也节省了我很多时间做进一步的调查！“如果我让用户以“阅读器”的身份访问整个web应用程序，并以“所有者”的身份访问特定插槽，他可以交换LIVE应用程序”-这一问题已经得到解决。谢谢你的报道！