Azure RBAC 角色和服务主体之间的关系

我自己总结的一些信息，以帮助您理解。

1.RBAC 角色用于分配给用户/服务主体，然后用户/服务主体将能够访问分配角色的范围内的 Azure 资源。 如果不熟悉服务主体，请参阅此文档。

有内置角色，也可以创建自定义角色，它们都是 RBAC 角色。每个角色都有permissions例如，所有者具有Microsoft.Authorization/*/Write权限，它允许Create roles, role assignments, policy assignments, policy definitions and policy set definitions。将用户/服务主体分配为 RBAC 角色后，他将获得相应的权限。

2.Azure RBAC 角色和角色分配中的角色是一回事。

例如，Azure RBAC 所有者角色可以创建虚拟机管理员登录角色，为什么它们都是调用角色!!!!!很混乱

应注意，不调用create，Virtual Machine Administrator Login是 RBAC 内置角色，由 Azure 定义，Owner只是将用户/服务主体分配为某个范围(例如资源组/订阅/VM )的Virtual Machine Administrator Login角色。

另一点，Owner是所有 RBAC 角色中具有最多权限的角色。在内置角色中，只需Owner和User Access Administrator就可以将用户/服务主体分配为 RBAC 角色(只需Owner并且User Access Administrator具有我上面提到的Microsoft.Authorization/*/Write权限，它用于分配角色。If you create a custom role which also has this permission, it will also be able to assign role)。所以我在1中说的you必须Owner。

1. 没有关系。或者更确切地说，将 RBAC 角色分配给用户\标识。服务主体是一个标识。使用 Azure RBAC 为其分配角色
2. 所有者角色(或任何其他内置角色)是众多 Azure RBAC 预定义角色之一。 您也可以拥有自定义角色。Azure RBAC 不称为Azure RBAC roles，不确定您从哪里得到它