细化Azure RBAC权限
Azure RBAC权限的细化一直是比较繁琐的事情,以下示例抛砖引玉,供大家参考
客户需求:
新用户在指定资源组下权限需求如下:
一、禁止以下权限
1、 调整虚拟机大小配置
2、 删除&停止虚拟机
3、 扩容磁盘&添加磁盘
4、 重置密码
二、容许以下权限
1、 对应资源组下所有查看类权限
2、 启动诊断权限(查看屏幕快照)
3、 监视类权限
4、 特殊权限:重启虚拟机&标记权限&提交工单权限
解决方法:
您可以参考如下操作说明,以实现新用户对指定资源组所具有的特定权限
1.AAD下创建新用户
2.在装有Azure Powershell的客户端执行如下操作
#登陆Azure账号
Add-AzureRmAccount -EnvironmentName AzureChinaCloud
#选择指定的订阅
Select-AzureRmSubscription -Subscription ***
#获取已有角色“虚拟机参与者”
$role = Get-AzureRmRoleDefinition -Name 'Virtual Machine Contributor'
#清空角色Id
$role.Id = $null
#给自定义角色命名及添加角色描述
$role.Name = 'Special Permission'
$role.Description = '***'
#清空“虚拟机参与者”的已有actions及notactions权限
$role.Actions.Clear()
$role.NotActions.Clear()
#赋予自定义角色所有资源的只读权限
$role.Actions.Add("*/read")
#赋予自定义角色重启虚拟机的权限
$role.Actions.Add("Microsoft.Compute/virtualMachines/restart/action")
#赋予自定义角色list存储账号key的权限,以实现查看诊断屏幕快照
$role.Actions.Add("Microsoft.Storage/storageAccounts/listKeys/action")
#赋予自定义角色添加诊断规则的权限,以实现监视类功能
$role.Actions.Add("Microsoft.Insights/AlertRules/*")
#赋予自定义角色更新虚拟机的权限,以实现标记功能
$role.Actions.Add("Microsoft.Compute/virtualMachines/write")
#阻止自定义角色查看虚拟机大小的功能
$role.NotActions.Add("Microsoft.Compute/virtualMachines/vmSizes/read")
#清空自定义角色的作用域,并授权指定订阅
$role.AssignableScopes.Clear()
$subscriptionid = "***"
$role.AssignableScopes.Add("/subscriptions/"+$subscriptionid)
#新建自定义角色
New-AzureRmRoleDefinition -Role $role
3.给指定资源组添加基于新用户的自定义角色权限
4.使用新用户登录Azure Portal测试验证
尝试关闭虚拟机报错
尝试删除虚拟机报错
不可以显示虚拟机大小,以阻止客户调整虚拟机大小
尝试附加数据磁盘报错
尝试重置密码报错
尝试创建虚拟机报错
可以成功查看虚拟机信息
可以成功标记虚拟机
更多有关RBAC的说明,请参考
https://docs.azure.cn/zh-cn/role-based-access-control/resource-provider-operations#microsoftcompute
https://docs.azure.cn/zh-cn/role-based-access-control/built-in-roles#virtual-machine-contributor
细化Azure RBAC权限的更多相关文章
- phpcms中的RBAC权限系统
PHPCMS中的RBAC权限系统主要用到了4张数据表:管理员表,角色表,菜单表,菜单权限表.先来看看数据库的数据表结构: admin 管理员表 ID 字段 类型 Null 默认 索引 额外 注释 1 ...
- Azure RBAC(Roles Based Access Control)正式上线了
期盼已久的Azure RBAC(Roles Based Access Control)正式上线了. 在非常多情况下.客户须要对各种类型的用户加以区分,以便做出适当的授权决定.基于角色的訪问控制 (RB ...
- 详解Azure的权限控制
注意:本文档仅限于Azure国际版,国内版略有不同 Azure中的角色分配相对来说是比较复杂的的,对于任何云组织来说,云的资源访问管理权限都是一项非常重要的功能,azure中的授权系统叫做基于角色 ...
- RBAC权限管理
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联. 简单地说,一个用户拥有若干角色,每一个角色拥有若干权限. 这样,就构造成“用户-角 ...
- yii2 rbac权限控制详细操作步骤
作者:白狼 出处:http://www.manks.top/article/yii2_rbac_description本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出 ...
- yii2 rbac权限控制之菜单menu详细教程
作者:白狼 出处:http://www.manks.top/article/yii2_rbac_menu本文版权归作者,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则 ...
- yii2搭建完美后台并实现rbac权限控制实例教程
1.安装yii2 未安装的请参考yii2史上最简单式安装教程,没有之一 或者参考yii2实战教程之详细安装步骤 已安装的请继续看下一步操作 2.配置数据库 2.1 配置数据库 修改common/con ...
- Yii2-admin RBAC权限管理的实现
原文地址:http://www.open-open.com/lib/view/open1434638805348.html http://wlzyan.blog.163.com/blog/stat ...
- 【转】RBAC权限管理
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色- ...
随机推荐
- 搭建简单的Spring框架
1.Spring框架相关jar包下载地址http://repo.springsource.org/libs-release-local/org/springframework/spring,复制,进入 ...
- 107. Binary Tree Level Order Traversal II(Tree, WFS)
Given a binary tree, return the bottom-up level order traversal of its nodes' values. (ie, from left ...
- Entity Framework 6.0 对枚举的支持/实体添加后会有主键反回
实验 直接上代码,看结果 实体类 [Flags] public enum FlagsEnum { Day = , Night = } public class EntityWithEnum { pub ...
- hashlib 算法介绍
Python的hashlib提供了常见的摘要算法,如MD5,SHA1等等. 什么是摘要算法呢?摘要算法又称哈希算法.散列算法.它通过一个函数,把任意长度的数据转换为一个长度固定的数据串(通常用16进制 ...
- file_get_contents()
file_get_contents()类似于curl接口调用
- asp.net 在自己指定的文件夹下面弄个App.config来读取配置
.注意首先你要在你的应用程序的根目录下面新建一个Config的文件夹,然后在你新建的Config文件夹下面建立一个MyApp.config文件,根据标准的App.config复制一个过来稍作修改就好, ...
- guestfish修改镜像内容
1.安装guestfish yum install libguestfs-tools 注意,如果要修改windows镜像需要安装 yum install libguestfs-winsupport 2 ...
- 【转载】【JAVA秒会技术之图片上传】基于Nginx及FastDFS,完成图片的上传及展示
基于Nginx及FastDFS,完成商品图片的上传及展示 一.传统图片存储及展示方式 存在问题: 1)大并发量上传访问图片时,需要对web应用做负载均衡,但是会存在图片共享问题 2)web应用服务器的 ...
- dojo表格操作的简单示例(建立表格)
代码示例: <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w ...
- IE(IE6/IE7/IE8)支持HTML5标签
让IE(ie6/ie7/ie8)支持HTML5元素,我们需要在HTML头部添加以下JavaScript,这是一个简单的document.createElement声明,利用条件注释针对IE来调用这个j ...