解決Contributor role無(wú)法添加Endpoint問(wèn)題

最近根據(jù)老板要求梳理了公司Azure賬號(hào)的權(quán)限，為每個(gè)人單獨(dú)創(chuàng)建了一個(gè)資源組，然后賦予了contributor的權(quán)限，這屬于很標(biāo)準(zhǔn)的一種做法，contributor這個(gè)role理論上來(lái)說(shuō)，根據(jù)微軟的說(shuō)明，除了不能分配權(quán)限以外，其實(shí)可以做的操作是和owner基本差不多的，結(jié)果發(fā)現(xiàn)原來(lái)有些地方還是不一樣

給用戶分配了contributor role之后，創(chuàng)建了一個(gè)虛擬網(wǎng)絡(luò)，然后在嘗試為虛擬網(wǎng)絡(luò)添加endpoint的時(shí)候，就發(fā)現(xiàn)遇到了問(wèn)題，至于endpoint是什么，可以翻閱之前的博客

Azure Endpoint 解析

https://blog.51cto.com/mxyit/2347623

嘗試創(chuàng)建endpoint時(shí)，發(fā)現(xiàn)會(huì)提示以下信息，也就是說(shuō)權(quán)限不夠了

這種問(wèn)題一般來(lái)說(shuō)加權(quán)限就夠了，但是要加什么權(quán)限呢？多了可能會(huì)產(chǎn)生其他影響，少了肯定解決不了問(wèn)題。其實(shí)這時(shí)候可以通過(guò)RBAC中自定義Role的方式解決，方法很簡(jiǎn)單，首先嘗試獲取到contributor這個(gè)role的定義

其實(shí)每個(gè)role對(duì)應(yīng)可以執(zhí)行的任務(wù)都會(huì)寫在actions這個(gè)屬性里，比如contributor可以執(zhí)行的任務(wù)是*，代表都可以執(zhí)行，當(dāng)然還會(huì)有notactions這個(gè)屬性來(lái)做黑名單，以限制一些不允許的操作

之后我們可以看下如果需要添加endpoint的話，需要添加什么樣的actions，可以通過(guò)PowerShell Get-AzureRmProviderOperation 來(lái)進(jìn)行查詢，和網(wǎng)絡(luò)相關(guān)的可以嘗試查找 ，發(fā)現(xiàn)可以查詢到很多信息

可以再進(jìn)一步針對(duì)endpoint關(guān)鍵字進(jìn)行篩選，直接就找到結(jié)果了

清除其他的action, 然后為Role添加這個(gè)操作

為一些基本信息賦值

定義Role的范圍

創(chuàng)建Role

將角色assign 給用戶，然后重新登陸后再次嘗試發(fā)現(xiàn)已經(jīng)可以正常添加endpoint了！