Azure permissions personalizados en la subnetworking

Tenemos un VNET que está acoplado a una ruta Express, en la que daremos a nuestros usuarios acceso a subnetworkinges específicas.

Estas subnetworkinges se crean para cada grupo de resources, y la idea es que estos usuarios sólo puedan agregar máquinas en su subnetworking.
Para permitir a los usuarios agregar máquinas a una subnetworking les di los siguientes permissions:

  • Leer en Red Virtual
  • Colaborador en su subnetworking

Sin embargo, esto permitió a los usuarios seleccionar todas las subnetworkinges en la networking virtual.
Simplemente arroja un error cuando intenta desplegar una máquina en una subnetworking que le falta contribuidor.

Intenté crear papeles personalizados, pero si debo crear uno que sólo prohíba la lectura como tal:

{ "Name": "Not Reader", "Description": "Denies Reader priviliges on the assigned resource.", "Actions": [ ], "NotActions": [ "Microsoft.Network/*/read" ], "AssignableScopes": [ "/subscriptions/theguidwashere" ] } 

Tengo el error:

 New-AzureRmRoleDefinition : Invalid value for Actions At line:1 char:1 + New-AzureRmRoleDefinition -InputFile C:\temp\customroles\NotReader.json + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand New-AzureRmRoleDefinition: Valor no válido para las acciones New-AzureRmRoleDefinition : Invalid value for Actions At line:1 char:1 + New-AzureRmRoleDefinition -InputFile C:\temp\customroles\NotReader.json + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand + Nuevo-AzureRmRoleDefinition -InputFile C: \ temp \ customroles \ NotReader.json New-AzureRmRoleDefinition : Invalid value for Actions At line:1 char:1 + New-AzureRmRoleDefinition -InputFile C:\temp\customroles\NotReader.json + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand Unesdoc.unesco.org unesdoc.unesco.org ~~~~~~~~~~~~ New-AzureRmRoleDefinition : Invalid value for Actions At line:1 char:1 + New-AzureRmRoleDefinition -InputFile C:\temp\customroles\NotReader.json + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand + CategoryInfo: CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException New-AzureRmRoleDefinition : Invalid value for Actions At line:1 char:1 + New-AzureRmRoleDefinition -InputFile C:\temp\customroles\NotReader.json + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzureRmRoleDefinition], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand 

Supongo que esto es porque el valor de las acciones no puede estar vacío.
No estoy seguro de lo que debería / podría añadir con security en las acciones, y en este punto está empezando a parecer que estoy poniendo juntos algo complejo para lo que debería ser bastante simple.

Entonces, ¿cómo debo configurar / crear funciones para permitir a un usuario ver y utilizar sólo una sola subnetworking dentro de un VNET más grande?