2. 程式人生 > >Azure ARM (16) 基於角色的訪問控制 (Role Based Access Control, RBAC) - 使用默認的Role

Azure ARM (16) 基於角色的訪問控制 (Role Based Access Control, RBAC) - 使用默認的Role

阿新 發佈:2017-09-21
not 問控制 https 所有 嘗試 介紹 admin ima 服務管理

  《Windows Azure Platform 系列文章目錄》

  今天上午剛剛和客戶溝通過,趁熱打鐵寫一篇Blog。

  熟悉Microsoft Azure平臺的讀者都知道,在老的Classic Portal裏面,我們可以設置共同管理員(Co-admin)。

  參考:Windows Azure Active Directory (3) China Azure AD增加新用戶

  技術分享

  但是Co-Admin和服務管理員(Service Admin)的權限是一樣的。

  比如上圖的admin創建的任何資源,是可以被newuser這個用戶刪除的。這樣不能進行權限控制。

  在新的Azure ARM Portal裏面,我們是可以根據不同的用戶,對資源組(Resource Group)設置基於角色的訪問控制 (Role Based Access Control, RBAC)

  在這裏筆者進行詳細的介紹。

  主要操作有:

  一.創建新的Azure AD Account

  二.創建Azure Resource, 並設置RBAC

  一.創建新的Azure AD Account

  1.我們以服務管理員身份(Admin),登錄Azure ARM Portal: https://portal.azure.cn

  2.點擊Azure Active Directory

  技術分享

  3.創建新的用戶,我們這裏設置賬戶名稱為:readonly。把下面的密碼保存在記事本中。下面登錄的時候要用到。

  技術分享

  4.創建完Azure AD賬戶以後,我們再創建一個Azure Resource Group,命名為LeiDemo-RG。圖略

  5.我們在LeiDemo-RG裏面,創建1個新的存儲賬戶,命名為leidemostorage。圖略。

  6.然後我們選擇LeiDemo-RG,點擊訪問控制,添加:

  技術分享

  

  7.角色這裏我要詳細的說明一下:

  技術分享

  (1)所有者(Owner)

  如果我把readonly這個賬戶設置為所有者,則readonly賬戶可以對LeiDemo-RG進行任何操作,包括刪除

  (2)參與者(Contributor)

  如果我把readonly這個賬戶設置為參與者,則readonly賬戶可以對LeiDemo-RG進行任何操作,但是不包括權限(Authorization)的刪除和寫入。

  (3)讀者(Reader)

  如果我把readonly這個賬戶設置為讀者,則readonly賬戶只能對LeiDemo-RG,進行只讀操作,但是無法讀取訪問秘鑰。

  有興趣的讀者可以參考微軟文檔:

  https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-built-in-roles

  (1)所有者Owner

  技術分享

  允許的操作是*,表示可以執行任何操作

  

  (2)參與者Contributor

  技術分享

  允許的操作是Actions的操作,減去NotActions的操作。這個概念非常非常重要。

  允許的操作是Actions的操作,減去NotActions的操作。這個概念非常非常重要。

  允許的操作是Actions的操作,減去NotActions的操作。這個概念非常非常重要。

  所以上圖的操作是允許進行任何操作,但是不包括權限(Authorization)的刪除和寫入。

  (3)讀者(Reader)

  技術分享

  允許的的操作是進行只讀操作,但是無法讀取訪問秘鑰。

  8.我們首先把readonly賬戶,設置為參與者(Contributor)。

  技術分享

  

  9.保證admin登錄的瀏覽器(比如Chrome)不關閉。換另外一個瀏覽器(比如IE)。在IE中,以readonly賬戶登錄。

  10.我們以readonly賬戶登錄的IE瀏覽器裏,選擇資源組LeiDemo-RG,設置訪問控制。

  下圖中,我們可以看到,因為readonly賬戶設置為參與者(Contributor),所以允許進行任何操作,但是不包括權限(Authorization)的刪除和寫入。

  技術分享

  

  11.我們回到Chrome瀏覽器,以admin身份,把readonly設置為讀者(Reader)。圖略

  12.然後回到IE瀏覽器,按F5頁面刷新。這時候readonly的權限是讀者(Reader)。  

  我們在IE瀏覽器裏,以readonly身份,選擇資源leidemostorage,然後點擊刪除。

  技術分享

  請記住:我們在步驟11中,設置的readonly權限為讀者(Reader)。所有readonly權限為: 進行只讀操作,但是無法讀取訪問秘鑰。

  技術分享

  13.我們嘗試以readonly身份,刪除這個存儲賬戶:leidemostorage。會顯示刪除失敗:

  技術分享

  這個是可以理解的,因為讀者(Reader)的身份,只能進行只讀操作,但是無法讀取訪問秘鑰。

  總結:

  1.掌握如何在Azure AD中,創建新的Account

  2.了解RBAC中默認的三個角色:所有者(Owner),參與者(Contributor),讀者(Reader)

  

Azure ARM (16) 基於角色的訪問控制 (Role Based Access Control, RBAC) - 使用默認的Role

相關推薦

Azure ARM (17) 基於角色訪問控制 (Role Based Access Control, RBAC) - 自定義Role

結果 del role environ db4 lis sele logs ini   《Windows Azure Platform 系列文章目錄》      在上面一篇博客中,筆者介紹了如何在RBAC裏面,設置默認的Role。   這裏筆者將介紹如何使用自定的Ro

Azure ARM (16) 基於角色訪問控制 (Role Based Access Control, RBAC) - 使用Role

not 問控制 https 所有 嘗試 介紹 admin ima 服務管理   《Windows Azure Platform 系列文章目錄》   今天上午剛剛和客戶溝通過,趁熱打鐵寫一篇Blog。   熟悉Microsoft Azure平臺的讀者都知道,在

AngularJS – 實現基於角色訪問控制的 GUI

指令的實現程式碼如下: .directive('myAccess', ['authService', 'removeElement', function (authService, removeElement) {     return{         restrict: 'A',         lin

訪問控制過濾器(Access Control Filter)

訪問控制過濾器是檢查當前使用者是否能執行訪問的controller action的初步授權模式。 這種授權模式基於使用者名稱,客戶IP地址和訪問型別。 訪問控制過濾器,適用於簡單的驗證。 需要複雜的訪問控制,需要使用將要講解到的基於角色訪問控制(role-bas

kubernetes RBAC實戰 kubernetes 使用者角色訪問控制,dashboard訪問,kubectl配置生成_Kubernetes中文社群

kubernetes RBAC實戰 環境準備 先用kubeadm安裝好kubernetes叢集,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 好用又方便,服務

Kubernetes中的角色訪問控制機制(RBAC)支援_Kubernetes中文社群

原標題: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支援 PS:在Kubernetes1.6版本中新增角色訪問控制機制(Role-Based Access,RBAC)讓叢集管理員可以針對特定使用者或服務賬號的角色,進行更精確的資源訪問控制。在R

kubernetes RBAC實戰 kubernetes 使用者角色訪問控制,dashboard訪問,kubectl配置生成

kubernetes RBAC實戰 環境準備 先用kubeadm安裝好kubernetes叢集,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100

Kubernetes中的角色訪問控制機制(RBAC)支援

原標題: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支援 PS:在Kubernetes1.6版本中新增角色訪問控制機制(Role-Based Access,RBAC)讓叢集管理員可以針對特定使用者或服務賬號的角色,

JAVA訪問許可權控制(JAVA Access Control

正文 理論知識 看錶理解 看例子理解 一些建議 注意的地方 參考來源 概述 背景 問題(動機、需求) 訪問控制(或隱藏具體實現)與“最初實現並不恰當”有關。 —— 摘自JAVA程式設計思想 1. 程式碼會

Azure RBAC(Roles Based Access Control)正式上線了

如果 ext 授權 開發 fonts style clas 應用程序 tex 期盼已久的Azure RBAC(Roles Based Access Control)正式上線了。在非常多情況下。客戶須要對各種類型的用戶加以區分,以便做出適當的授權決定。基於角色的訪問控制

在Ubuntu 16.04 安裝python3.6 環境並設置為

ins 設置 posit ubun -s install code python版本 ln -s 1.添加python3.6安裝包,並且安裝 sudo add-apt-repository ppa:jonathonf/python-3.6 sudo apt-get upd

關於RBACRole-Base Access Control)的理解(轉)

topic div 今天 就是 對象 配置文件 需要 需求 重新 基於角色的訪問控制(Role-Base Access Control) 有兩種正在實踐中使用的RBAC訪問控制方式:隱式(模糊)的方式和顯示(明確)的方式。 今天依舊有大量的軟件應用是使用隱式的訪問控制方式。

Add role-based access and password recovery to your PHP application

In Part 1, I explained the basics of the Passport API and walked you through the process of integrating Passport with a PHP applicati

解決 js ajax跨域訪問報“No 'Access-Control-Allow-Origin' header is present on the requested resource.”錯誤

訪問 con tails request pre ade ont details -a 參考頁面:https://blog.csdn.net/idomyway/article/details/79572973 如果請求的是PHP頁面: header("Access-

Spring Security應用開發(16)基於表達式的訪問控制

member font pan 地址 使用 基於 spa 數組 express 1.1.1. 通用表達式 Spring Security 使用基於Spring EL的表達式來進行訪問控制。內置的表達式如下表所示: 表達式 描述 hasRole(ro

基於角色基於資源的權限訪問控制

由於 同時 style ssi 語句 span 權限 分配 不依賴   基於角色的權限訪問控制RBAC(role-based access control)是以角色為中心進行的訪問控制,也就是判斷主體subject是那個角色的方式進行權限訪問控制,是粗粒度的   基於資源的

基於角色的許可權訪問控制(RBAC-Java)

業務場景 許可權管理類的網站會存在一個定製化的業務需求,不同的使用者擁有不同的功能介面、不同的業務許可權.從專案角度來描述就是不同的使用者擁有不同的角色,不同的角色綁定了不同的功能模組,並且要保證使用者不能操作許可權之外的功能。基於這樣的出發點可以考慮建立一套

基於角色訪問控制RBAC)許可權管理

許可權針對的物件或資源(Resource、Class)。 How:具體的許可權(Privilege,正向授權與負向授權)。 Operator:操作。表明對What的How操作。也就是Privilege+Resource Role:角色,一定數量的許可權的集合。許可

基於角色訪問控制RBAC】許可權與資源樹

基於角色的許可權訪問控制(Role-BasedAccess Control)。在RBAC中,許可權與角色相關聯,通過使使用者成為適當的角色而得到這些角色的許可權。使用者可以很容易地從一個角色被指派到另一個角色。角色可依新的需求和系統的合併而賦予新的許可權,而許可權也可根據需要而從某角色中回

基於角色訪問控制RBAC的mysql表設計

一、使用者角色表,用於儲存角色id和角色名稱,表結構如下: create table roles( role_id int unsigned not null auto_increment, r