Azure permissions personalizados en la subnetworking

Tenemos un VNET que está acoplado a una ruta Express, en la que daremos a nuestros usuarios acceso a subnetworkinges específicas.

Estas subnetworkinges se crean para cada grupo de resources, y la idea es que estos usuarios sólo puedan agregar máquinas en su subnetworking.
Para permitir a los usuarios agregar máquinas a una subnetworking les di los siguientes permissions:

  • Leer en Red Virtual
  • Colaborador en su subnetworking

Sin embargo, esto permitió a los usuarios seleccionar todas las subnetworkinges en la networking virtual.
Simplemente arroja un error cuando intenta desplegar una máquina en una subnetworking que le falta contribuidor.

Intenté crear papeles personalizados, pero si debo crear uno que sólo prohíba la lectura como tal:

{ "Name": "Not Reader", "Description": "Denies Reader priviliges on the assigned resource.", "Actions": [ ], "NotActions": [ "Microsoft.Network/*/read" ], "AssignableScopes": [ "/subscriptions/theguidwashere" ] } 

Tengo el error:

 New-AzureRmRoleDefinition : Invalid value for Actions At line:1 char:1 + New-AzureRmRoleDefinition -InputFile C:\temp\customroles\NotReader.json + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand New-AzureRmRoleDefinition: Valor no válido para las acciones New-AzureRmRoleDefinition : Invalid value for Actions At line:1 char:1 + New-AzureRmRoleDefinition -InputFile C:\temp\customroles\NotReader.json + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand + Nuevo-AzureRmRoleDefinition -InputFile C: \ temp \ customroles \ NotReader.json New-AzureRmRoleDefinition : Invalid value for Actions At line:1 char:1 + New-AzureRmRoleDefinition -InputFile C:\temp\customroles\NotReader.json + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand Unesdoc.unesco.org unesdoc.unesco.org ~~~~~~~~~~~~ New-AzureRmRoleDefinition : Invalid value for Actions At line:1 char:1 + New-AzureRmRoleDefinition -InputFile C:\temp\customroles\NotReader.json + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand + CategoryInfo: CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException New-AzureRmRoleDefinition : Invalid value for Actions At line:1 char:1 + New-AzureRmRoleDefinition -InputFile C:\temp\customroles\NotReader.json + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand 

Supongo que esto es porque el valor de las acciones no puede estar vacío.
No estoy seguro de lo que debería / podría añadir con security en las acciones, y en este punto está empezando a parecer que estoy poniendo juntos algo complejo para lo que debería ser bastante simple.

Entonces, ¿cómo debo configurar / crear funciones para permitir a un usuario ver y utilizar sólo una sola subnetworking dentro de un VNET más grande?

  • ¿Cómo usar un file de configuration (ini, conf, ...) con una secuencia de commands Powershell? ¿Es posible?
  • Powershell Valor del logging que se utilizará como variable
  • Módulo Powershell 'servermanager' no encontrado en Windows 10
  • Establecer el servidor NTP en todos los miembros de AD (antiguos y recién conectados) usando w32tm o PowerShell?
  • Powershell ActiveDirectory-Module en SBS-2008?
  • ¿Lo mejor para verificar que IIS o un website de ISS está en marcha?
  • Autenticación de key pública Windows Port of OpenSSH
  • Retraso al crear buzones a cambio
  • Administración de IIS que utiliza PowerShell 2 y módulos en Windows 2008 R1
  • Error de la unidad de automation de PowerCLI-cddrive
  • Cómo pin scripts powershell a la barra de tareas?
  • Cuando se ejecuta como una tarea programada, no puede guardar un libro de Excel cuando se utiliza objeto COM Excel.Application en PowerShell
  • Necesita cambiar la configuration regional del sistema en Windows 2012 R2 de en-US a en-GB
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.