-
Azure RBAC 角色和服务主体之间的关系是什么?
它们是一回事,还是 Azure RBAC 角色是可以通过不同的 RBAC 角色创建不同服务主体的帐户的属性?
-
Azure RBAC 角色与角色分配中的角色之间的关系是什么?
(比如Azure RBAC所有者角色可以创建虚拟机管理员登录角色,为什么都是调用角色!!!!!很混乱)
我自己总结的一些信息,以帮助您理解。
1.RBAC 角色用于分配给用户/服务主体,然后用户/服务主体将能够访问分配角色的范围内的 Azure 资源。 如果不熟悉服务主体,请参阅此文档。
有内置角色,也可以创建自定义角色,它们都是 RBAC 角色。每个角色都有permissions
例如,所有者具有Microsoft.Authorization/*/Write
权限,它允许Create roles, role assignments, policy assignments, policy definitions and policy set definitions
。将用户/服务主体分配为 RBAC 角色后,他将获得相应的权限。
2.Azure RBAC 角色和角色分配中的角色是一回事。
例如,Azure RBAC 所有者角色可以创建虚拟机管理员登录角色,为什么它们都是调用角色!!!!!很混乱
应注意,不调用create
,Virtual Machine Administrator Login
是 RBAC 内置角色,由 Azure 定义,Owner
只是将用户/服务主体分配为某个范围(例如资源组/订阅/VM )的Virtual Machine Administrator Login
角色。
另一点,Owner
是所有 RBAC 角色中具有最多权限的角色。在内置角色中,只需Owner
和User Access Administrator
就可以将用户/服务主体分配为 RBAC 角色(只需Owner
并且User Access Administrator
具有我上面提到的Microsoft.Authorization/*/Write
权限,它用于分配角色。If you create a custom role which also has this permission, it will also be able to assign role
)。所以我在1
中说的you
必须Owner
。
- 没有关系。或者更确切地说,将 RBAC 角色分配给用户\标识。服务主体是一个标识。使用 Azure RBAC 为其分配角色
- 所有者角色(或任何其他内置角色)是众多 Azure RBAC 预定义角色之一。 您也可以拥有自定义角色。Azure RBAC 不称为
Azure RBAC roles
,不确定您从哪里得到它