azure - Azure RBAC 角色和服务主体之间的关系
问题描述
Azure RBAC 角色和服务主体之间有什么关系?
它们是同一件事还是 Azure RBAC 角色是帐户的属性,可以通过不同的 RBAC 角色创建不同的服务主体?
Azure RBAC 角色与角色分配中的角色有什么关系?
(比如Azure RBAC owner角色可以创建虚拟机管理员登录角色,为什么都是调用角色!!!!!!很迷惑)
解决方案
自己总结的一些资料,帮助大家理解。
1.RBAC角色用于分配给用户/服务主体,然后用户/服务主体将能够访问您为其分配角色的范围内的Azure资源。如果您不熟悉服务主体,请参阅此文档。
有内置角色,或者您可以创建自定义角色,它们都是 RBAC 角色。每个角色都有permissions
例如所有者有Microsoft.Authorization/*/Write
权限,它允许Create roles, role assignments, policy assignments, policy definitions and policy set definitions
。一旦用户/服务主体被分配为 RBAC 角色,他将获得相应的权限。
2.Azure RBAC 角色和角色分配中的角色是一回事。
比如Azure RBAC owner角色可以创建虚拟机管理员登录角色,为什么都是调用角色!!!!!!非常混乱
您应该注意,not calledcreate
是Virtual Machine Administrator Login
一个 RBAC 内置角色,由 Azure 定义,Owner
只是将用户/服务主体分配为Virtual Machine Administrator Login
某个范围内的角色(例如您的资源组/订阅/虚拟机)。
还有一点,Owner
是所有RBAC角色中权限最多的角色。在内置角色中,只需 Owner
和User Access Administrator
可以将用户/服务主体分配为 RBAC 角色(只需Owner
和User Access Administrator
有Microsoft.Authorization/*/Write
权限,我上面提到过,它用于分配角色。If you create a custom role which also has this permission, it will also be able to assign role
)。所以you
我说的1
must 应该是Owner
.
推荐阅读
- slack - Slack Link 展开动态域
- flutter - 如何在 Flutter 中配置的页面中继续动画?
- java - 特定的 RepaintManager 可以用于特定的 JPanel 吗?
- c# - 从 VS 创建的 .exe 文件上的文件或目录已损坏且无法读取
- node.js - 如果我们删除 www 前缀,Node/Express 中的 CORS 问题
- javascript - 推送通知错误“缺少注册”firebase 功能
- angular - 使用 Angular Universal 的选择性 SSR(服务器端渲染)
- pytorch - Pytorch - 分布式数据并行混淆
- asp.net - 使用脚本和 css 引用调用文件
- react-native - 导航到下一个屏幕时,所有以前的屏幕都会重新安装 react-navigation 5x