正如微软高级技术开发者 所说的那样,微软在分配权限给不同身份和团队的时候,使用分层的方法,“Azure里的每一个订阅都仅属于一个目录,每个资源组都只属于一个订阅,并且每一个资源也只属于一个资源组。”
一旦使用RBAC,用户就只有通过分配到的合适的RBAC角色才能在正确的范围内访问。一个用户只需要访问特定资源,而不能访问订阅中的其他资源。
从历史上看,在经典的订阅模式里,管理员和联合管理员具有访问Azure订阅的全部权限。这往往会导致企业用户有更多的可访问的内容。在新的RBAC模型中,有3种基本的内置角色:
经典模型中的管理员在RBAC模型中其实已经拥有所有者权限了。除了这些基本的内置功能,微软为具体的产品和服务发布了一个完整的内置角色清单,例如包括SQL数据库和网络贡献者。
RBAC模型不仅支持权限继承,还能将权限继续从订阅级联到资源组。如果将继承权限应用于某个资源组,则该权限级别将属于该资源组。如果权限被继承,只有最高级别的管理者才能对其权限栈进行修改。RBAC权限在很多经典入口是找不到的,但是却可以在新的Azure入口分配。RBAC权限还可以被应用于使用或Azure的命令行界面。
对于具备自定义功能的组织方来说,他们有能力使用RBAC命令行工具。这有点像内置功能,可以分配给用户、团队和应用程序。在下图中,有一个被称为 的自定义规则,提供所有必要的权限或操作来监视和重启虚拟机。
微软还提供了一份报告,这份报告指出组织应该从整体角度看待在过去90天里所有已经授权或已撤销的权限。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...