amazon-web-services - 具有托管身份和 IP 限制的虚拟机谁赢了？

如果 VM1 被入侵，说永远不会与 VM2 进行任何交互是否正确，因为 RBAC 不允许

不完全，不。RBAC 与网络访问完全分离。唯一将身份与通信联系起来的是，如果一台服务器需要使用 Azure Active Directory 主体向另一台服务器进行身份验证，有时您需要允许网络访问。但他们不应该混淆。

托管标识基本上是驻留在 Azure AD 中的计算机帐户，就像您的标准本地 Active Directory 中存在计算机帐户一样，这是允许计算机对尝试登录服务器/工作站的用户进行身份验证所必需的。有时您可能有一些进程，例如在 SYSTEM 上下文中运行的 Windows 服务（作为计算机帐户运行），这些进程需要访问网络资源，并且访问控制允许您使用 Active Directory 授予或拒绝访问权限。

如果机器 A 可以访问机器 B，并且由于 IIS 中的漏洞而受到威胁，例如，您可能已明确拒绝机器 A 对机器 B 的所有权限，但如果机器 B 也运行相同版本的 IIS，并且机器 A 可以连接到它，然后 RBAC 将无济于事。

这种行为是否类似于使用 AWS IAM 角色和权限所做的事情？

我不是 AWS 方面的专家，但我想说这可能是相同的行为，但 IAM 和网络访问控制又不是一回事。

如果我将角色分配给 VM1 o 与 VM2 交谈，然后在 VM2 中我不允许来自 VM1 的访问，那么哪个语句获胜？

你指的是哪个角色？网络访问在 NSG 或防火墙中完成，角色转变成影响 VM2 中 Windows 权限的权限（ReFS 权限/NTFS/Windows Auth 等）。您可以通过角色从 VM1 授予对 VM2 的任何类型访问权限的唯一方法是，如果您要为 VM1 分配“云设备管理员”角色。此角色的任何受让人都将添加到所有加入 Azure AD 的计算机的本地管理员组中。默认情况下，加入 Azure AD 的计算机无权访问其他计算机资源，但可能无法枚举计算机上的共享。如果您的计算机上有一个允许所有人或域计算机访问的共享，那么是的，机器可以访问它，但默认情况下，Windows 机器上没有打开此类共享。

如果您想完全隔离两台机器，则应用 NSG 来拒绝它们之间的网络访问，但请记住，如果两台机器都有公共存在点，那么您也应该阻止它。