Какая связь между ролями RBAC Azure и субъектом службы?
Это одно и то же или роли RBAC Azure являются свойством учетной записи, которая может создавать разных участников службы с помощью разных ролей RBAC?
Какая связь между ролями RBAC Azure и ролями в назначении ролей?
(например, роль владельца RBAC Azure может создавать роли входа администратора виртуальной машины, почему все они являются ролями вызова !!!!!! очень запутанно)
Взаимосвязь между ролями RBAC Azure и субъектом службы
Ответы (2)
Некоторая информация, обобщенная мной, поможет вам понять.
1. Роли RBAC используются для назначения пользователю / субъекту службы, тогда пользователь / субъект службы сможет получить доступ к ресурсам Azure в области, в которой вы назначаете им роль. Если вы не знакомы с принципалом службы, см. Этот doc.
Существуют встроенные роли, или вы можете создать настраиваемую роль, все они являются ролями RBAC. У каждой роли есть permissions < / a> например Владелец имеет Microsoft.Authorization/*/Write разрешение, это позволяет Create roles, role assignments, policy assignments, policy definitions and policy set definitions. После того, как пользователю / субъекту службы будет назначена роль RBAC, он получит соответствующие разрешения.
2. Роли RBAC в Azure и роли в назначении ролей - это одно и то же.
например, роль владельца RBAC Azure может создавать роли входа администратора виртуальной машины, почему все они являются ролями вызова !!!!!! очень запутанный
Обратите внимание, что не называется create, _ 5_ - это встроенная роль RBAC, которая определяется Azure, Owner просто назначает пользователя / участника службы как Virtual Machine Administrator Login роль в некоторой области (например, ваша группа ресурсов / подписка / ВМ).
Еще один момент: Owner < / a> - это роль, которая имеет наибольшее количество разрешений во всех ролях RBAC. Во встроенных ролях просто Owner и _ 10_ может назначать пользователя / участника службы в качестве роли RBAC (только Owner и User Access Administrator имеют разрешение Microsoft.Authorization/*/Write, о котором я упоминал выше, оно используется для назначения ролей . If you create a custom role which also has this permission, it will also be able to assign role). Итак, you, как я сказал в 1, должно быть Owner.
person
Joy Wang
schedule
12.11.2019
Привет, Джой, большое спасибо за помощь. Вот мое понимание, пожалуйста, поправьте меня, если я ошибаюсь. роль «Владелец» имеет наивысшие права доступа к ресурсам и манипулирования ими. Любой пользователь / приложение было подписано. Роль владельца может подписывать роли с более низкими привилегиями для другого приложения / пользователя.
- person SLN; 13.11.2019
@SLN В основном правильно, но вы должны отметить 1. Когда владелец назначает роли другому, это должно быть в его области. например Владелец в группе ресурсов A не может давать роль другим участникам группы B. 2. Не только
lower privileged roles, владелец также может назначать роль владельца другим. 3. Роли могут передаваться по наследству, например если пользователь является владельцем в рамках подписки, он может назначать роль другим пользователям в любой группе в этой подписке.
- person Joy Wang; 13.11.2019
- Нет отношений. Или, скорее, вы назначаете роли RBAC пользователям \ идентификаторам. Субъект-служба - это личность. Вы используете Azure RBAC для назначения ему ролей.
- Роль владельца (или любая другая встроенная роль) - одна из многих предопределенных ролей Azure RBAC. у вас могут быть пользовательские роли как хорошо. Azure RBAC не называется
Azure RBAC roles, не знаю, откуда вы это взяли.
person
4c74356b41
schedule
11.11.2019
docs.microsoft.com/en-us/azure/role-based-access-control/ Я получил роли Azure RBAC отсюда
- person SLN; 11.11.2019
ну, здесь говорится о ролях, которые являются частью Azure RBAC. Вы читали статью, на которую ссылаетесь?
Azure RBAC includes over 70 built-in roles. There are four fundamental RBAC roles.
- person 4c74356b41; 11.11.2019
