azure - Azure RBAC 角色和服务主体之间的关系

自己总结的一些资料，帮助大家理解。

1.RBAC角色用于分配给用户/服务主体，然后用户/服务主体将能够访问您为其分配角色的范围内的Azure资源。如果您不熟悉服务主体，请参阅此文档。

有内置角色，或者您可以创建自定义角色，它们都是 RBAC 角色。每个角色都有permissions例如所有者有Microsoft.Authorization/*/Write权限，它允许Create roles, role assignments, policy assignments, policy definitions and policy set definitions。一旦用户/服务主体被分配为 RBAC 角色，他将获得相应的权限。

2.Azure RBAC 角色和角色分配中的角色是一回事。

比如Azure RBAC owner角色可以创建虚拟机管理员登录角色，为什么都是调用角色！！！！！！非常混乱

您应该注意，not calledcreate是Virtual Machine Administrator Login一个 RBAC 内置角色，由 Azure 定义，Owner只是将用户/服务主体分配为Virtual Machine Administrator Login某个范围内的角色（例如您的资源组/订阅/虚拟机）。

还有一点，Owner是所有RBAC角色中权限最多的角色。在内置角色中，只需 Owner和User Access Administrator可以将用户/服务主体分配为 RBAC 角色（只需Owner和User Access Administrator有Microsoft.Authorization/*/Write权限，我上面提到过，它用于分配角色。If you create a custom role which also has this permission, it will also be able to assign role）。所以you我说的1must 应该是Owner.