AI 助理
文档备案控制台
开发者社区 开发与运维 文章 正文

Azure ARM (16) 基于角色的访问控制 (Role Based Access Control, RBAC) - 使用默认的Role

2017-11-09 1635
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

 《Windows Azure Platform 系列文章目录

 

  今天上午刚刚和客户沟通过,趁热打铁写一篇Blog。

 

  熟悉Microsoft Azure平台的读者都知道,在老的Classic Portal里面,我们可以设置共同管理员(Co-admin)。

  参考:Windows Azure Active Directory (3) China Azure AD增加新用户

  

  但是Co-Admin和服务管理员(Service Admin)的权限是一样的。

  比如上图的admin创建的任何资源,是可以被newuser这个用户删除的。这样不能进行权限控制。

 

  在新的Azure ARM Portal里面,我们是可以根据不同的用户,对资源组(Resource Group)设置基于角色的访问控制 (Role Based Access Control, RBAC)

  在这里笔者进行详细的介绍。

 

  主要操作有:

  一.创建新的Azure AD Account

  二.创建Azure Resource, 并设置RBAC

 

  一.创建新的Azure AD Account

  1.我们以服务管理员身份(Admin),登录Azure ARM Portal: https://portal.azure.cn

  2.点击Azure Active Directory

  

  3.创建新的用户,我们这里设置账户名称为:readonly。把下面的密码保存在记事本中。下面登录的时候要用到。

  

  4.创建完Azure AD账户以后,我们再创建一个Azure Resource Group,命名为LeiDemo-RG。图略

  5.我们在LeiDemo-RG里面,创建1个新的存储账户,命名为leidemostorage。图略。

  6.然后我们选择LeiDemo-RG,点击访问控制,添加:

  

  

  7.角色这里我要详细的说明一下:

  

  (1)所有者(Owner)

  如果我把readonly这个账户设置为所有者,则readonly账户可以对LeiDemo-RG进行任何操作,包括删除

  (2)参与者(Contributor)

  如果我把readonly这个账户设置为参与者,则readonly账户可以对LeiDemo-RG进行任何操作,但是不包括权限(Authorization)的删除和写入。

  (3)读者(Reader)

  如果我把readonly这个账户设置为读者,则readonly账户只能对LeiDemo-RG,进行只读操作,但是无法读取访问秘钥。

 

  有兴趣的读者可以参考微软文档:

  https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-built-in-roles

  (1)所有者Owner

  

  允许的操作是*,表示可以执行任何操作

  

  (2)参与者Contributor

  

  允许的操作是Actions的操作,减去NotActions的操作。这个概念非常非常重要。

  允许的操作是Actions的操作,减去NotActions的操作。这个概念非常非常重要。

  允许的操作是Actions的操作,减去NotActions的操作。这个概念非常非常重要。

   所以上图的操作是允许进行任何操作,但是不包括权限(Authorization)的删除和写入。

 

  (3)读者(Reader)

  

  允许的的操作是进行只读操作,但是无法读取访问秘钥。

 

  8.我们首先把readonly账户,设置为参与者(Contributor)。

  

  

  9.保证admin登录的浏览器(比如Chrome)不关闭。换另外一个浏览器(比如IE)。在IE中,以readonly账户登录。

  10.我们以readonly账户登录的IE浏览器里,选择资源组LeiDemo-RG,设置访问控制。

  下图中,我们可以看到,因为readonly账户设置为参与者(Contributor),所以允许进行任何操作,但是不包括权限(Authorization)的删除和写入。

  

  

  11.我们回到Chrome浏览器,以admin身份,把readonly设置为读者(Reader)。图略

 

  12.然后回到IE浏览器,按F5页面刷新。这时候readonly的权限是读者(Reader)。  

  我们在IE浏览器里,以readonly身份,选择资源leidemostorage,然后点击删除。

  

  我们尝试以readonly身份,删除这个存储账户:leidemostorage。会显示删除失败:

  

 

  13.请记住:我们在步骤11中,设置的readonly权限为读者(Reader)。所有readonly权限为: 进行只读操作,但是无法读取访问秘钥。

    

  这个是可以理解的,因为读者(Reader)的身份,只能进行只读操作,但是无法读取访问秘钥。

 

 

  总结:

  1.掌握如何在Azure AD中,创建新的Account

  2.了解RBAC中默认的三个角色:所有者(Owner),参与者(Contributor),读者(Reader)

 


本文转自Azure Lei Zhang博客园博客,原文链接:http://www.cnblogs.com/threestone/p/7565507.html,如需转载请自行联系原作者


文章标签:
访问控制
终端访问控制系统
Windows
Web App开发
存储
数据安全/隐私保护
关键词:
azure arm
访问控制rbac
访问控制角色
azure访问控制
角色访问控制
zting科技
目录
相关文章
以山向海
|
存储 安全 对象存储
oss访问控制(Access Control)
oss访问控制(Access Control)
以山向海
1408 4
路边两盏灯
|
JavaScript 前端开发 API
【Azure Developer】use @azure/arm-monitor sdk 遇见 ManagedIdentityCredential authentication failed.(status code 500)
【Azure Developer】use @azure/arm-monitor sdk 遇见 ManagedIdentityCredential authentication failed.(status code 500)
路边两盏灯
152 1
路边两盏灯
|
存储 网络协议 安全
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
路边两盏灯
218 0
运维有小邓
|
安全 BI 数据安全/隐私保护
基于条件的访问控制——RBAC
基于角色的访问控制(RBAC)根据员工的角色和职责分配权限,确保用户仅能访问所需资源,降低数据泄露风险。通过ADManager Plus等工具,企业可以高效管理权限,减少手动操作,提升安全性并保护敏感信息。RBAC的核心原则是最小权限,即只为员工分配完成工作所需的权限。这不仅提高了工作效率,还减少了未经授权访问的风险,是防范网络威胁的有效手段。
运维有小邓
275 3
路边两盏灯
|
存储 网络协议 网络安全
【Azure 环境】部署ARM Linked Template时候 Blob SAS Token不能正常工作
Unable to retrieve url https://<stroage account name>.blob.core.chinacloudapi.cn/arm/azuredeploy.json?sp=r 'st' is not recognized as an internal or external command, operable program or batch file. 'se' is not recognized as an internal or external command, operable program or batch file. 'spr' is no
路边两盏灯
225 1
听风de歌
|
安全 Linux 数据库
安全策略之访问控制列表 (ACL, Access Control List)
【8月更文挑战第12天】
听风de歌
1915 3
听风de歌
|
安全 数据安全/隐私保护 开发者
安全策略之授权基于角色的访问控制(RBAC)
【8月更文挑战第14天】
听风de歌
1193 2
小空门123-30335
|
存储 Shell API
Casbin是一个强大的、开源的访问控制库,支持访问控制模型如ACL、RBAC、ABAC等。
Casbin是一个强大的、开源的访问控制库,支持访问控制模型如ACL、RBAC、ABAC等。
小空门123-30335
968 5
路边两盏灯
【Azure 服务总线】Azure门户获取ARM模板,修改Service Bus的TLS版本
【Azure 服务总线】Azure门户获取ARM模板,修改Service Bus的TLS版本
路边两盏灯
194 0

热门文章

最新文章

  • 1
    ARM架构鲲鹏主机BClinux离线安装docker步骤
  • 2
    Documentation下ARM中的Booting文档翻译
  • 3
    [arm 驱动]input 子系统架构总结
  • 4
    Qt 报错:Undefined symbols for architecture arm64
  • 5
    [arm 驱动]linux内核驱动之中断下半部编程
  • 6
    ARM GCC Inline Assembler
  • 7
    Arm发布Cortex-A76AE自动驾驶芯片架构,宣示车载系统市场主权
  • 8
    [arm驱动]linux内核链表
  • 9
    Azure ARM (2) 概览
  • 10
    arm汇编中的加载指令
  • 1
    Cisco Identity Services Engine (ISE) 3.5 发布 - 基于身份的网络访问控制和策略实施系统
    617
  • 2
    Cisco Identity Services Engine (ISE) 3.4 - 基于身份的网络访问控制和策略实施系统
    414
  • 3
    基于 JavaScript 图算法的局域网网络访问控制模型构建及局域网禁止上网软件的技术实现路径研究
    263
  • 4
    Hyper V文件复制安全:加密与访问控制
    325
  • 5
    课时105:访问控制权限
    179
  • 6
    基于条件的访问控制——RBAC
    275
  • 7
    QuickBI行级权限:精细化数据访问控制,轻松实现千人千面
    891
  • 8
    访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。
    1133
  • 9
    访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
    2093
  • 10
    了解访问控制列表 (ACL):概念、类型与应用
    1460

    • 相关课程

    更多
  • 云安全基础课 - 访问控制概述

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    狂揽7.5k星!这款开源API网关彻底解放开发者:一键聚合GPT-4、Suno、Midjourney,还能在线充值!