Powershell 设置开发人员访问Azure资源的最佳做法

我想了解管理开发人员访问客户订阅资源子集的最佳实践是什么？

我已经搜索了谷歌和Azure文档，寻找明确的答案，但我还没有找到一篇文章将所有这些放在一起。因为Azure仍在快速发展，我经常发现很难确定某篇文章是否仍然相关

总结一下我们的情况：

我的任务是为我们公司为客户开发的网站研究和实施Azure基础设施。目前，我们的经理和我可以通过服务管理员的凭据访问Azure Portal上客户端的整个订阅，即使我们只管理：

运行Web角色的Azure云服务（具有生产和暂存环境的2个实例）

Azure SQL数据库

用于部署、诊断等的Azure Blob存储

我们现在正进入一个阶段，团队中的更多开发人员将需要访问权限来执行维护类型的任务，例如执行VIP交换、检索诊断信息等

管理开发人员对此类项目的访问权的正确方法是什么

我采取的方法是实现基于角色的访问控制（）

根据将上面的1、2和3移动到新的资源组中

为我们公司创建一个新的用户组，比如“GroupXYZ”

将“GroupXYZ”添加到参与者角色

将特定开发人员的公司帐户添加到“GroupXYZ”

采取基于角色方法的动机

据我所知，让每个人都以联合管理员的身份访问将意味着他们可以完全访问门户中的每个订阅

基于帐户的身份验证优于基于证书的身份验证，因为管理证书会增加复杂性 让我质疑我的方法的是，我无法使用PowerShell对云服务执行VIP交换；我收到一条错误消息，说明找不到证书

这些基于角色的帐户是否只能通过资源管理器命令访问Azure

在访问Move AzureDeployment命令之前，我必须将PowerShell切换到Azure Service Manager（ASM）模式

---

我不确定的另一点是，当使用基于角色的访问控制时，Visual Studio是否可以访问这些资源（在资源组中）。

当您将RBAC应用于Azure时，或者一般来说，通过RBAC授予对帐户的访问权，那么这些帐户只能通过Azure资源管理器API访问Azure，无论是PowerShell、REST还是VS

---

VS 2015在使用2.7 SDK时可以通过RBAC访问Azure资源。VS 2013将很快获得支持。

谢谢你的支持。似乎在Azure资源管理API支持VIP交换之前，我们必须为VIP交换使用证书。微软似乎正在推动Azure资源组的想法。