历史上的今天
今天是:2024年12月14日(星期六)
2019年12月14日 | Azure ARM (16) 基于角色的访问控制 - 使用默认的Role
2019-12-14 来源:eefocus
熟悉Microsoft Azure平台的读者都知道,在老的Classic Portal里面,我们可以设置共同管理员(Co-admin)。
参考:Windows Azure Active Directory (3) China Azure AD增加新用户
但是Co-Admin和服务管理员(Service Admin)的权限是一样的。
比如上图的admin创建的任何资源,是可以被newuser这个用户删除的。这样不能进行权限控制。
在新的Azure ARM Portal里面,我们是可以根据不同的用户,对资源组(Resource Group)设置基于角色的访问控制 (Role Based Access Control, RBAC)
在这里笔者进行详细的介绍。
主要操作有:
一.创建新的Azure AD Account
二.创建Azure Resource, 并设置RBAC
一.创建新的Azure AD Account
1.我们以服务管理员身份(Admin),登录Azure ARM Portal: https://portal.azure.cn
2.点击Azure Active Directory
3.创建新的用户,我们这里设置账户名称为:readonly。把下面的密码保存在记事本中。下面登录的时候要用到。
4.创建完Azure AD账户以后,我们再创建一个Azure Resource Group,命名为LeiDemo-RG。图略
5.我们在LeiDemo-RG里面,创建1个新的存储账户,命名为leidemostorage。图略。
6.然后我们选择LeiDemo-RG,点击访问控制,添加:
7.角色这里我要详细的说明一下:
(1)所有者(Owner)
如果我把readonly这个账户设置为所有者,则readonly账户可以对LeiDemo-RG进行任何操作,包括删除
(2)参与者(Contributor)
如果我把readonly这个账户设置为参与者,则readonly账户可以对LeiDemo-RG进行任何操作,但是不包括权限(Authorization)的删除和写入。
(3)读者(Reader)
如果我把readonly这个账户设置为读者,则readonly账户只能对LeiDemo-RG,进行只读操作,但是无法读取访问秘钥。
有兴趣的读者可以参考微软文档:
https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-built-in-roles
(1)所有者Owner
允许的操作是*,表示可以执行任何操作
(2)参与者Contributor
允许的操作是Actions的操作,减去NotActions的操作。这个概念非常非常重要。
允许的操作是Actions的操作,减去NotActions的操作。这个概念非常非常重要。
允许的操作是Actions的操作,减去NotActions的操作。这个概念非常非常重要。
所以上图的操作是允许进行任何操作,但是不包括权限(Authorization)的删除和写入。
(3)读者(Reader)
允许的的操作是进行只读操作,但是无法读取访问秘钥。
8.我们首先把readonly账户,设置为参与者(Contributor)。
9.保证admin登录的浏览器(比如Chrome)不关闭。换另外一个浏览器(比如IE)。在IE中,以readonly账户登录。
10.我们以readonly账户登录的IE浏览器里,选择资源组LeiDemo-RG,设置访问控制。
下图中,我们可以看到,因为readonly账户设置为参与者(Contributor),所以允许进行任何操作,但是不包括权限(Authorization)的删除和写入。
11.我们回到Chrome浏览器,以admin身份,把readonly设置为读者(Reader)。图略
12.然后回到IE浏览器,按F5页面刷新。这时候readonly的权限是读者(Reader)。
我们在IE浏览器里,以readonly身份,选择资源leidemostorage,然后点击删除。
我们尝试以readonly身份,删除这个存储账户:leidemostorage。会显示删除失败:
13.请记住:我们在步骤11中,设置的readonly权限为读者(Reader)。所有readonly权限为: 进行只读操作,但是无法读取访问秘钥。
这个是可以理解的,因为读者(Reader)的身份,只能进行只读操作,但是无法读取访问秘钥。
总结:
1.掌握如何在Azure AD中,创建新的Account
2.了解RBAC中默认的三个角色:所有者(Owner),参与者(Contributor),读者(Reader)
史海拾趣
|
今天晚上在qq上和一位久违的朋友聊了会儿,聊了聊他的近况和未来打算,私企工薪族,有一套贷款的房在还着,经济压力倒也不大,就是对未来有些感慨和迷茫,请我给指点迷津。我先让他描述下他对自己15年后状态的设想(不考虑任何外界因素和现实束缚, ...… 查看全部问答> |
|
完全脚本解析的,可谓一劳永逸GROUPBOX 98, 14, 96, 90, "看门狗相关"CHECKBOX 104, 33, 60, 11, LSI_EN, "允许使用LSI"CHECKBOX ...… 查看全部问答> |
|
谁有cadence allegro 16.3的安装文件。或者网站也行。发个链接什么给我一个。16.2的也可以。。万分感激 [ 本帖最后由 votex威 于 2011-10-11 21:34 编辑 ]… 查看全部问答> |
|
消息来自《先进能源材料》原文研究报告手机电池带电超过一周,每次充电只需15分钟。美国西北大学的研究人员让我们离这个梦想又 进了一步。据美国物理学家组织网11月15日(北京时间)报道,该校的工程师研制出一种针对锂离子电池的电极,允许电池保 ...… 查看全部问答> |
|
如题,某段代码需要用汇编读取一个局部变量的值,应该怎么写?例如有一个char c,怎么把c的值度到A寄存器里面?有一个uint16_t wd,怎么把wd的值读到X寄存器里面?… 查看全部问答> |
|
【晒心得】Ez430-Chronos-433无线手表试用小记 最近实在是忙,各种忙,而且网络也不给力。眼睁睁的看着论坛上TI的促销活动搞得轰轰烈烈,竟然直到TI促销活动结束的前一天才把订单搞定。话说TI的效率那是没得说。下单一周就接到了联邦快递快递员问路的电话,奉劝以后在国外往国内邮寄物品的童鞋们 ...… 查看全部问答> |