细化Azure RBAC权限
Azure RBAC权限的细化一直是比较繁琐的事情,以下示例抛砖引玉,供大家参考
客户需求:
新用户在指定资源组下权限需求如下:
一、禁止以下权限
1、 调整虚拟机大小配置
2、 删除&停止虚拟机
3、 扩容磁盘&添加磁盘
4、 重置密码
二、容许以下权限
1、 对应资源组下所有查看类权限
2、 启动诊断权限(查看屏幕快照)
3、 监视类权限
4、 特殊权限:重启虚拟机&标记权限&提交工单权限
解决方法:
您可以参考如下操作说明,以实现新用户对指定资源组所具有的特定权限
1.AAD下创建新用户
2.在装有Azure Powershell的客户端执行如下操作
#登陆Azure账号
Add-AzureRmAccount -EnvironmentName AzureChinaCloud
#选择指定的订阅
Select-AzureRmSubscription -Subscription ***
#获取已有角色“虚拟机参与者”
$role = Get-AzureRmRoleDefinition -Name 'Virtual Machine Contributor'
#清空角色Id
$role.Id = $null
#给自定义角色命名及添加角色描述
$role.Name = 'Special Permission'
$role.Description = '***'
#清空“虚拟机参与者”的已有actions及notactions权限
$role.Actions.Clear()
$role.NotActions.Clear()
#赋予自定义角色所有资源的只读权限
$role.Actions.Add("*/read")
#赋予自定义角色重启虚拟机的权限
$role.Actions.Add("Microsoft.Compute/virtualMachines/restart/action")
#赋予自定义角色list存储账号key的权限,以实现查看诊断屏幕快照
$role.Actions.Add("Microsoft.Storage/storageAccounts/listKeys/action")
#赋予自定义角色添加诊断规则的权限,以实现监视类功能
$role.Actions.Add("Microsoft.Insights/AlertRules/*")
#赋予自定义角色更新虚拟机的权限,以实现标记功能
$role.Actions.Add("Microsoft.Compute/virtualMachines/write")
#阻止自定义角色查看虚拟机大小的功能
$role.NotActions.Add("Microsoft.Compute/virtualMachines/vmSizes/read")
#清空自定义角色的作用域,并授权指定订阅
$role.AssignableScopes.Clear()
$subscriptionid = "***"
$role.AssignableScopes.Add("/subscriptions/"+$subscriptionid)
#新建自定义角色
New-AzureRmRoleDefinition -Role $role
3.给指定资源组添加基于新用户的自定义角色权限
4.使用新用户登录Azure Portal测试验证
尝试关闭虚拟机报错
尝试删除虚拟机报错
不可以显示虚拟机大小,以阻止客户调整虚拟机大小
尝试附加数据磁盘报错
尝试重置密码报错
尝试创建虚拟机报错
可以成功查看虚拟机信息
可以成功标记虚拟机
更多有关RBAC的说明,请参考
https://docs.azure.cn/zh-cn/role-based-access-control/resource-provider-operations#microsoftcompute
https://docs.azure.cn/zh-cn/role-based-access-control/built-in-roles#virtual-machine-contributor
细化Azure RBAC权限的更多相关文章
- phpcms中的RBAC权限系统
PHPCMS中的RBAC权限系统主要用到了4张数据表:管理员表,角色表,菜单表,菜单权限表.先来看看数据库的数据表结构: admin 管理员表 ID 字段 类型 Null 默认 索引 额外 注释 1 ...
- Azure RBAC(Roles Based Access Control)正式上线了
期盼已久的Azure RBAC(Roles Based Access Control)正式上线了. 在非常多情况下.客户须要对各种类型的用户加以区分,以便做出适当的授权决定.基于角色的訪问控制 (RB ...
- 详解Azure的权限控制
注意:本文档仅限于Azure国际版,国内版略有不同 Azure中的角色分配相对来说是比较复杂的的,对于任何云组织来说,云的资源访问管理权限都是一项非常重要的功能,azure中的授权系统叫做基于角色 ...
- RBAC权限管理
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联. 简单地说,一个用户拥有若干角色,每一个角色拥有若干权限. 这样,就构造成“用户-角 ...
- yii2 rbac权限控制详细操作步骤
作者:白狼 出处:http://www.manks.top/article/yii2_rbac_description本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出 ...
- yii2 rbac权限控制之菜单menu详细教程
作者:白狼 出处:http://www.manks.top/article/yii2_rbac_menu本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则 ...
- yii2搭建完美后台并实现rbac权限控制实例教程
1.安装yii2 未安装的请参考yii2史上最简单式安装教程,没有之一 或者参考yii2实战教程之详细安装步骤 已安装的请继续看下一步操作 2.配置数据库 2.1 配置数据库 修改common/con ...
- Yii2-admin RBAC权限管理的实现
原文地址:http://www.open-open.com/lib/view/open1434638805348.html http://wlzyan.blog.163.com/blog/stat ...
- 【转】RBAC权限管理
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色- ...
随机推荐
- 特性(property)
6.4 特性(property) 1 什么是特性property property是一种特殊的属性,访问它时会执行一段功能(函数)然后返回值 import math class Circle: def ...
- openpose
编译libpthread.so pthread2 ihash
- c++ template 判断是否为类类型
/* The following code example is taken from the book * "C++ Templates - The Complete Guide" ...
- gitweb配置
基于ssh的git服务器搭建可浏览:https://www.cnblogs.com/wswind/p/10373881.html 安装gitweb和apache yum -y install gitw ...
- marathon的高可用服务自动发现和负载均衡
上一篇我们说谈了docker+zookeeper+mesos+marathon集群,本篇我们来谈谈marathon的集群和自动发现服务. marathon的服务自动发现和负载均衡有两种,1是mesos ...
- Imageloader、Glide、Fresco的性能及加载速度比较
一.使用方式: // 下面两个依赖包可选,根据需求二选一即可, compile 'com.ladingwu.library:fresco:0.0.9' compile 'com.la ...
- Oracle学习笔记(四)
六.约束 1.约束的作用 定义规则:什么数据可以输入,什么不可以 确保完整性:数据的精确性和可靠性 2.Oracle五个重要的约束: 非空约束.主键约束.外键约束.检查约束.唯一约束. (1)非空约束 ...
- .NET基础 (20).NET中的数据库开发
ADO NET和数据库程序基础1 什么是关系型数据库2 如何通过SQL语句来实现行列转换3 ADO NET支持哪几种数据源 ADO NET和数据库的连接1 请简要叙述数据库连接池的机制2 如何提高连接 ...
- Ubuntu命令基础
Ubuntu命令基础 1.打开终端窗口快捷键. Ctrl+alt+t 2.更新设置root密码. $sudo passwd root 3.切换到root用户用su,前提是自己设置了root密码(看 ...
- 修改VS中的附加依赖项的继承值
工程用不到的库,想去都去不掉,一直链接错误... 解决方法:打开vs的“属性管理器”窗口.通过这个窗口就可以对里面的继承值进行编辑了 另,“属性管理器”这个窗口,一般在“其他窗口”选项里(至少VS20 ...