Azure RBAC权限的细化一直是比较繁琐的事情,以下示例抛砖引玉,供大家参考

客户需求:

新用户在指定资源组下权限需求如下:

一、禁止以下权限

1、 调整虚拟机大小配置

2、 删除&停止虚拟机

3、 扩容磁盘&添加磁盘

4、 重置密码

二、容许以下权限

1、 对应资源组下所有查看类权限

2、 启动诊断权限(查看屏幕快照)

3、 监视类权限

4、 特殊权限:重启虚拟机&标记权限&提交工单权限

解决方法:

您可以参考如下操作说明,以实现新用户对指定资源组所具有的特定权限

1.AAD下创建新用户

2.在装有Azure Powershell的客户端执行如下操作

#登陆Azure账号

Add-AzureRmAccount -EnvironmentName AzureChinaCloud

#选择指定的订阅

Select-AzureRmSubscription -Subscription ***

#获取已有角色“虚拟机参与者”

$role = Get-AzureRmRoleDefinition -Name 'Virtual Machine Contributor'

#清空角色Id

$role.Id = $null

#给自定义角色命名及添加角色描述

$role.Name = 'Special Permission'

$role.Description = '***'

#清空“虚拟机参与者”的已有actions及notactions权限

$role.Actions.Clear()

$role.NotActions.Clear()

#赋予自定义角色所有资源的只读权限

$role.Actions.Add("*/read")

#赋予自定义角色重启虚拟机的权限

$role.Actions.Add("Microsoft.Compute/virtualMachines/restart/action")

#赋予自定义角色list存储账号key的权限,以实现查看诊断屏幕快照

$role.Actions.Add("Microsoft.Storage/storageAccounts/listKeys/action")

#赋予自定义角色添加诊断规则的权限,以实现监视类功能

$role.Actions.Add("Microsoft.Insights/AlertRules/*")

#赋予自定义角色更新虚拟机的权限,以实现标记功能

$role.Actions.Add("Microsoft.Compute/virtualMachines/write")

#阻止自定义角色查看虚拟机大小的功能

$role.NotActions.Add("Microsoft.Compute/virtualMachines/vmSizes/read")

#清空自定义角色的作用域,并授权指定订阅

$role.AssignableScopes.Clear()

$subscriptionid = "***"

$role.AssignableScopes.Add("/subscriptions/"+$subscriptionid)

#新建自定义角色

New-AzureRmRoleDefinition -Role $role

3.给指定资源组添加基于新用户的自定义角色权限

4.使用新用户登录Azure Portal测试验证

尝试关闭虚拟机报错

尝试删除虚拟机报错

不可以显示虚拟机大小,以阻止客户调整虚拟机大小

尝试附加数据磁盘报错

尝试重置密码报错

尝试创建虚拟机报错

可以成功查看虚拟机信息

可以成功标记虚拟机

更多有关RBAC的说明,请参考

https://blogs.technet.microsoft.com/bulentozkir/2016/09/09/azure-resource-manager-rbac-management-practical-tips/

https://docs.azure.cn/zh-cn/role-based-access-control/resource-provider-operations#microsoftcompute

https://docs.azure.cn/zh-cn/role-based-access-control/built-in-roles#virtual-machine-contributor

细化Azure RBAC权限的更多相关文章

  1. phpcms中的RBAC权限系统

    PHPCMS中的RBAC权限系统主要用到了4张数据表:管理员表,角色表,菜单表,菜单权限表.先来看看数据库的数据表结构: admin 管理员表 ID 字段 类型 Null 默认 索引 额外 注释 1 ...

  2. Azure RBAC(Roles Based Access Control)正式上线了

    期盼已久的Azure RBAC(Roles Based Access Control)正式上线了. 在非常多情况下.客户须要对各种类型的用户加以区分,以便做出适当的授权决定.基于角色的訪问控制 (RB ...

  3. 详解Azure的权限控制

    注意:本文档仅限于Azure国际版,国内版略有不同   Azure中的角色分配相对来说是比较复杂的的,对于任何云组织来说,云的资源访问管理权限都是一项非常重要的功能,azure中的授权系统叫做基于角色 ...

  4. RBAC权限管理

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联. 简单地说,一个用户拥有若干角色,每一个角色拥有若干权限. 这样,就构造成“用户-角 ...

  5. yii2 rbac权限控制详细操作步骤

    作者:白狼 出处:http://www.manks.top/article/yii2_rbac_description本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出 ...

  6. yii2 rbac权限控制之菜单menu详细教程

    作者:白狼 出处:http://www.manks.top/article/yii2_rbac_menu本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则 ...

  7. yii2搭建完美后台并实现rbac权限控制实例教程

    1.安装yii2 未安装的请参考yii2史上最简单式安装教程,没有之一 或者参考yii2实战教程之详细安装步骤 已安装的请继续看下一步操作 2.配置数据库 2.1 配置数据库 修改common/con ...

  8. Yii2-admin RBAC权限管理的实现

    原文地址:http://www.open-open.com/lib/view/open1434638805348.html   http://wlzyan.blog.163.com/blog/stat ...

  9. 【转】RBAC权限管理

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色- ...

随机推荐

  1. ios图片的拉伸

    http://blog.csdn.net/q199109106q/article/details/8615661 - (UIImage *)stretchableImageWithLeftCapWid ...

  2. 《OpenGL超级宝典》编程环境配置

    最近在接触OpenGL,使用的书籍就是那本<OpenGL超级宝典>,不过编程环境的搭建和设置还是比较麻烦的,在网上找了很多资料,找不到GLTools.lib这个库.没办法自己就借助源码自己 ...

  3. python性能测试脚本-乾颐堂

    废话不多说,直接上代码. import httplib import urllib import time import json     class Transaction(object):     ...

  4. [Selenium] Java代码获取,设置屏幕分辨率

    import java.awt.Dimension; import java.awt.DisplayMode; import java.awt.GraphicsDevice; import java. ...

  5. 全球数据库-->基金/管理产品-->分类/行业平均

    ETF分类 GIFS台湾注册基金 GIFS开放式分类 GIFS德国注册基金 GIFS意大利注册基金 GIFS新兴市场 GIFS新加坡保险连结 GIFS新加坡注册基金 GIFS日本 GIFS比利时注册基 ...

  6. Dom4j入门

    一.Dom4j API生成xml文件 @Test public void bulidXmlByDom4j(){ //创建document对象 Document document = DocumentH ...

  7. cucumber安装步骤

    #Start Guide##Environment###1. Install Ruby Verify your installation by running ruby -v in a termina ...

  8. 大数据技术之_19_Spark学习_05_Spark GraphX 应用解析 + Spark GraphX 概述、解析 + 计算模式 + Pregel API + 图算法参考代码 + PageRank 实例

    第1章 Spark GraphX 概述1.1 什么是 Spark GraphX1.2 弹性分布式属性图1.3 运行图计算程序第2章 Spark GraphX 解析2.1 存储模式2.1.1 图存储模式 ...

  9. java中父类的静态方法不能被重写

    Java中父类的静态方法确实不能被重写的,但是有的人可能去做实验发现在子类中去重写父类static方法时,并没什么问题.这里我来具体解释下. public class Parent { public ...

  10. Oracle Key Flexfields Qualifiers

    Oracle Key Flexfields Qualifiers 1.     Application Developer è Flexfield è Key è Register Title: Ac ...