繁体 English 中英

Azure 角色分配优先级

[英]Azure role assignment precedence

原文 2021-10-05 10:05:05 5 1 azure/ azure-rbac

假设用户分配了以下角色结构。

订阅贡献者 scope
资源组 scope 的读者。该资源组在订阅内。
cosmos db 上的 Cosmos DB Account Reader 角色位于第 2 点的资源组内）

用户可以对cosmos db进行写操作吗？

我找不到有关此用例的任何文档。

1 个解决方案

用户可以对 cosmos db 进行写操作吗？

是的，因为用户在订阅级别处于Contributor角色，并且 Azure RBAC 是一个附加项 model，其中有效权限是根据所有角色分配计算的。 从这个link ：

多重角色分配

那么，如果您有多个重叠的角色分配会怎样？ Azure RBAC是model的加法，所以你的有效权限是你角色分配的总和。 请考虑以下示例，其中用户被授予订阅 scope 的参与者角色和资源组的读者角色。 Contributor 权限和 Reader 权限的总和实际上是订阅的 Contributor 角色。 因此，在这种情况下，Reader 角色分配没有影响。

Azure 资源的角色分配

[英]Role Assignment to Resources on Azure

Azure 应用程序管理员角色分配的 AD 自定义角色

[英]Azure AD Custom Role for Application Admin Role Assignment

如何使用REST API从Azure权限账户中提取角色分配信息？

[英]How to use REST API to extract role assignment information from a Azure Purview account?

使用 Azure 创建角色分配时出错 REST API - 主体在目录中不存在

[英]Error creating role assignment using Azure REST API - Principal does not exist in the directory

哪个安全组在 Azure DevOps 中优先？

[英]Which Security group take precedence in Azure DevOps?

Terraform 导入 azurerm_role_assignment

[英]Terraform Import azurerm_role_assignment

AuthorizationFailed - 在 Azure 中创建角色分配

[英]AuthorizationFailed - Creating Role Assignments in Azure

无法使用 Terraform Destroy 命令删除 su.net 中的角色分配

[英]Unable to delete Role Assignment in subnet using Terraform Destroy command

用户身份角色分配运行良好但确实显示在门户中

[英]user identity role assignment runs fine but does show in the portal

Azure 策略无法使用 deployIfNotExists 部署策略分配

[英]Azure policy fails to deploy a policy assignment with deployIfNotExists

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Azure 资源的角色分配 Azure 应用程序管理员角色分配的 AD 自定义角色如何使用REST API从Azure权限账户中提取角色分配信息？使用 Azure 创建角色分配时出错 REST API - 主体在目录中不存在哪个安全组在 Azure DevOps 中优先？ Terraform 导入 azurerm_role_assignment AuthorizationFailed - 在 Azure 中创建角色分配无法使用 Terraform Destroy 命令删除 su.net 中的角色分配用户身份角色分配运行良好但确实显示在门户中 Azure 策略无法使用 deployIfNotExists 部署策略分配

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM