Какая связь между ролями RBAC Azure и субъектом службы?
Это одно и то же или роли RBAC Azure являются свойством учетной записи, которая может создавать разных участников службы с помощью разных ролей RBAC?
Какая связь между ролями RBAC Azure и ролями в назначении ролей?
(например, роль владельца RBAC Azure может создавать роли входа администратора виртуальной машины, почему все они являются ролями вызова !!!!!! очень запутанно)
Взаимосвязь между ролями RBAC Azure и субъектом службы
Ответы (2)
Некоторая информация, обобщенная мной, поможет вам понять.
1. Роли RBAC используются для назначения пользователю / субъекту службы, тогда пользователь / субъект службы сможет получить доступ к ресурсам Azure в области, в которой вы назначаете им роль. Если вы не знакомы с принципалом службы, см. Этот doc.
Существуют встроенные роли, или вы можете создать настраиваемую роль, все они являются ролями RBAC. У каждой роли есть permissions
< / a> например Владелец имеет Microsoft.Authorization/*/Write
разрешение, это позволяет Create roles, role assignments, policy assignments, policy definitions and policy set definitions
. После того, как пользователю / субъекту службы будет назначена роль RBAC, он получит соответствующие разрешения.
2. Роли RBAC в Azure и роли в назначении ролей - это одно и то же.
например, роль владельца RBAC Azure может создавать роли входа администратора виртуальной машины, почему все они являются ролями вызова !!!!!! очень запутанный
Обратите внимание, что не называется create
, _ 5_ - это встроенная роль RBAC, которая определяется Azure, Owner
просто назначает пользователя / участника службы как Virtual Machine Administrator Login
роль в некоторой области (например, ваша группа ресурсов / подписка / ВМ).
Еще один момент: Owner
< / a> - это роль, которая имеет наибольшее количество разрешений во всех ролях RBAC. Во встроенных ролях просто Owner
и _ 10_ может назначать пользователя / участника службы в качестве роли RBAC (только Owner
и User Access Administrator
имеют разрешение Microsoft.Authorization/*/Write
, о котором я упоминал выше, оно используется для назначения ролей . If you create a custom role which also has this permission, it will also be able to assign role
). Итак, you
, как я сказал в 1
, должно быть Owner
.
lower privileged roles
, владелец также может назначать роль владельца другим. 3. Роли могут передаваться по наследству, например если пользователь является владельцем в рамках подписки, он может назначать роль другим пользователям в любой группе в этой подписке.
- person Joy Wang; 13.11.2019
- Нет отношений. Или, скорее, вы назначаете роли RBAC пользователям \ идентификаторам. Субъект-служба - это личность. Вы используете Azure RBAC для назначения ему ролей.
- Роль владельца (или любая другая встроенная роль) - одна из многих предопределенных ролей Azure RBAC. у вас могут быть пользовательские роли как хорошо. Azure RBAC не называется
Azure RBAC roles
, не знаю, откуда вы это взяли.
Azure RBAC includes over 70 built-in roles. There are four fundamental RBAC roles.
- person 4c74356b41; 11.11.2019