2. 程式人生 > >Azure ARM (17) 基於角色的訪問控制 (Role Based Access Control, RBAC) - 自定義Role

Azure ARM (17) 基於角色的訪問控制 (Role Based Access Control, RBAC) - 自定義Role

阿新 發佈:2017-09-22
結果 del role environ db4 lis sele logs ini

  《Windows Azure Platform 系列文章目錄》

  

  在上面一篇博客中,筆者介紹了如何在RBAC裏面,設置默認的Role。

  這裏筆者將介紹如何使用自定的Role。

  

  主要內容有:

  一.了解Role中的Action和NotAction

  二.通過PowerShell,查看相應的Action

  三.編輯json Template,自定義Role

  四.設置相應的Role

  五.刪除自定義Role

  一.了解Role中的Action和NotAction

  比如SQL DB Contributor這個Role,權限如下

   技術分享

  允許的操作是Actions的操作,減去NotActions的操作。這個概念非常非常重要。

  允許的操作是Actions的操作,減去NotActions的操作。這個概念非常非常重要。

  允許的操作是Actions的操作,減去NotActions的操作。這個概念非常非常重要。

  The access granted by a custom role is computed by subtracting the NotActions operations from the Actions operations.

  https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-custom-roles#notactions

  二.通過PowerShell,查看相應的Action

  我們知道在Azure ARM裏面有非常多的服務,比如Azure Storage, Azure Virtual Machine, Azure SQL Database等。

  還有非常多的操作,比如Read, Delete, List等等。

  如果需要了解具體每一個服務和相應的操作步驟,我們需要查詢相應的操作步驟Action。

  具體命令如下:

#登錄Azure China,以Admin身份登錄
Add-AzureRmAccount -Environment AzureChinaCloud

#選擇當前訂閱
 

Select-AzureRmSubscription -SubscriptionName ‘[訂閱名稱]‘

#獲得所有對存儲Storage的操作
Get-AzureRmProviderOperation Microsoft.Storage/*

#獲得所有對虛擬機VM的只讀操作
Get-AzureRmProviderOperation Microsoft.Compute/*/read

  在輸出的內容中,我們可以選擇相應的Action。圖略。

  三.編輯json Template,自定義Role

  1.通過上面的Get-AzureRmProviderOperation語句,我們就可以查看到具體的操作。

  在編輯json template之前,我們需要查看默認Role的Name和ID,防止自定義的Name和ID與默認的Role沖突。

  具體的命令如下:

#登錄Azure China,以Admin身份登錄
Add-AzureRmAccount -Environment AzureChinaCloud

#選擇當前訂閱
Select-AzureRmSubscription -SubscriptionName ‘[訂閱名稱]‘

#查看Azure已經存在的Role的Name,Id,IsCustom屬性
Get-AzureRmRoleDefinition | Select Name,Id,IsCustom

  執行結果如下圖:

  技術分享

  2.然後我們就可以編輯json Template,模板如下:

{
    //這裏是自定義Role的名稱,請不要與Azure默認的Name沖突
    "Name": "Cannot Delete Storage Account Role",
    //這裏是Role的ID,請不要與Azure默認的Id沖突
    "Id": "11794e3b-eeeb-4e5c-a98b-27cc053a0b35",
    //因為是自定義設置,所以Value為true
    "IsCustom": true,
    //這裏是簡單的Role的描述
    "Description": "Cannot Delete Storage Account Role.",
    "Actions": [
    //這裏是允許的操作
            //對Azure Storage進行只讀操作
            "Microsoft.Storage/*/read",
            //查看Role
            "Microsoft.Authorization/*/read",
            //對Resource Group的只讀操作
            "Microsoft.Resources/subscriptions/resourceGroups/read"
    ],
    "NotActions": [
    //請註意,這裏不是拒絕的操作。
    //用戶最終的權限,是Actions,減去NotActions的權限
    //The access granted by a custom role is computed by subtracting the NotActions operations from the Actions operations.
    //https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-custom-roles#notactions
    
    ],
    "AssignableScopes": [
    //修改下面的subscription Id為用戶Azure訂閱ID
    "/subscriptions/11111111-2222-3333-4444-1e2900a4504b"
    ]
}

  將上面的文件保存為json格式,放在D盤根目錄下,路徑為D:\cannotdeletestorage.json

  

  4.然後我們執行下面的Azure Powershell,把上面的cannotdeletestorage.json上傳到Azure

#登錄Azure China,以Admin身份登錄
Add-AzureRmAccount -Environment AzureChinaCloud

#選擇當前訂閱
Select-AzureRmSubscription -SubscriptionName ‘[訂閱名稱]‘

#上傳本地PC機器上的json template文件
New-AzureRmRoleDefinition -InputFile ‘D:\cannotdeletestorage.json‘

  執行成功後如下圖:

  技術分享

  四.設置相應的Role

  1.打開Chrome瀏覽器,我們以服務管理員身份(Admin),登錄Azure ARM Portal: https://portal.azure.cn

  2.創建1個存儲賬戶,還有2個Azure SQL Database資源。如下圖:

  可以看到一共有5個資源:

  技術分享

  3.點擊Azure Active Directory,把readonly賬戶,設置為自定義Role:Cannot Delete Storage Account Role

  技術分享

  

  4.打開IE瀏覽器,以readonly賬戶登錄Azure ARM Portal: https://portal.azure.cn,查看到的結果如下圖:

  可以看到只有1個資源。

  技術分享

  這是因為我們在json template裏面設置了Action

"Actions": [
         //這裏是允許的操作
            //對Azure Storage進行只讀操作
            "Microsoft.Storage/*/read",
            //查看Role
            "Microsoft.Authorization/*/read",
            //對Resource Group的只讀操作
            "Microsoft.Resources/subscriptions/resourceGroups/read"
    ],

  對Storage存儲賬戶是只讀操作的,對Azure SQL Database不進行任何操作。所以readonly這個賬戶無法看到Azure SQL Database相應的資源。

  5.因為readonly賬戶對Storage存儲賬戶是只讀操作的,所以無法刪除存儲賬戶。因為如下圖:

  技術分享

  

  五.刪除自定義Role

  1.如果用戶不希望繼續使用自定義Role,可以按照以下步驟操作。

  2.打開Chrome瀏覽器,我們以服務管理員身份(Admin),登錄Azure ARM Portal: https://portal.azure.cn。

  把readonly賬戶刪除自定義Role。如下圖:

  技術分享

  3.在Azure PowerShell裏面執行以下命令:

#登錄Azure China,以Admin身份登錄
Add-AzureRmAccount -Environment AzureChinaCloud

#選擇當前訂閱
Select-AzureRmSubscription -SubscriptionName ‘[訂閱名稱]‘

#可以根據自定義Role的Name進行刪除
Remove-AzureRmRoleDefinition -Name ‘Cannot Delete Storage Account Role‘

#或者根據自定義Role的ID,進行刪除
Remove-AzureRmRoleDefinition -Name ‘[RoleID]‘

  執行結果:

技術分享

  最後如果大家有興趣的話,可以查看下面這個自定義Role所擁有的權限

{
  "Name": "Virtual Machine Operator",
  "Id": "cadb4a5a-4e7a-47be-84db-05cad13b6769",
  "IsCustom": true,
  "Description": "Can monitor and restart virtual machines.",
  "Actions": [
    "Microsoft.Storage/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Authorization/*/read",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Insights/alertRules/*",
    "Microsoft.Insights/diagnosticSettings/*",
    "Microsoft.Support/*"
  ],
  "NotActions": [

  ],
  "AssignableScopes": [
    "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e",
    "/subscriptions/e91d47c4-76f3-4271-a796-21b4ecfe3624",
    "/subscriptions/34370e90-ac4a-4bf9-821f-85eeedeae1a2"
  ]
}

Azure ARM (17) 基於角色的訪問控制 (Role Based Access Control, RBAC) - 自定義Role

相關推薦

Azure ARM (17) 基於角色訪問控制 (Role Based Access Control, RBAC) - 定義Role

結果 del role environ db4 lis sele logs ini   《Windows Azure Platform 系列文章目錄》      在上面一篇博客中,筆者介紹了如何在RBAC裏面,設置默認的Role。   這裏筆者將介紹如何使用自定的Ro

Azure ARM (16) 基於角色訪問控制 (Role Based Access Control, RBAC) - 使用默認的Role

not 問控制 https 所有 嘗試 介紹 admin ima 服務管理   《Windows Azure Platform 系列文章目錄》   今天上午剛剛和客戶溝通過,趁熱打鐵寫一篇Blog。   熟悉Microsoft Azure平臺的讀者都知道,在

AngularJS – 實現基於角色訪問控制的 GUI

指令的實現程式碼如下: .directive('myAccess', ['authService', 'removeElement', function (authService, removeElement) {     return{         restrict: 'A',         lin

訪問控制過濾器(Access Control Filter)

訪問控制過濾器是檢查當前使用者是否能執行訪問的controller action的初步授權模式。 這種授權模式基於使用者名稱,客戶IP地址和訪問型別。 訪問控制過濾器,適用於簡單的驗證。 需要複雜的訪問控制,需要使用將要講解到的基於角色訪問控制(role-bas

Cisco PT模擬實驗(17) 路由器IP訪問控制列表配置

cisco ccna 路由 Cisco PT模擬實驗(17) 路由器IP訪問控制列表配置實驗目的: 理解兩種IP訪問控制列表的原理及功能 掌握常見IP訪問控制列表的配置方法實驗背景: 公司的經理部、財務部們和銷售部門分屬於不同的3個網段,三部門之間

kubernetes RBAC實戰 kubernetes 使用者角色訪問控制,dashboard訪問,kubectl配置生成_Kubernetes中文社群

kubernetes RBAC實戰 環境準備 先用kubeadm安裝好kubernetes叢集,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 好用又方便,服務

Kubernetes中的角色訪問控制機制(RBAC)支援_Kubernetes中文社群

原標題: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支援 PS:在Kubernetes1.6版本中新增角色訪問控制機制(Role-Based Access,RBAC)讓叢集管理員可以針對特定使用者或服務賬號的角色,進行更精確的資源訪問控制。在R

kubernetes RBAC實戰 kubernetes 使用者角色訪問控制,dashboard訪問,kubectl配置生成

kubernetes RBAC實戰 環境準備 先用kubeadm安裝好kubernetes叢集,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100

Kubernetes中的角色訪問控制機制(RBAC)支援

原標題: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支援 PS:在Kubernetes1.6版本中新增角色訪問控制機制(Role-Based Access,RBAC)讓叢集管理員可以針對特定使用者或服務賬號的角色,

JAVA訪問許可權控制(JAVA Access Control

正文 理論知識 看錶理解 看例子理解 一些建議 注意的地方 參考來源 概述 背景 問題(動機、需求) 訪問控制(或隱藏具體實現)與“最初實現並不恰當”有關。 —— 摘自JAVA程式設計思想 1. 程式碼會

Azure RBAC(Roles Based Access Control)正式上線了

如果 ext 授權 開發 fonts style clas 應用程序 tex 期盼已久的Azure RBAC(Roles Based Access Control)正式上線了。在非常多情況下。客戶須要對各種類型的用戶加以區分,以便做出適當的授權決定。基於角色的訪問控制

關於RBACRole-Base Access Control)的理解(轉)

topic div 今天 就是 對象 配置文件 需要 需求 重新 基於角色的訪問控制(Role-Base Access Control) 有兩種正在實踐中使用的RBAC訪問控制方式:隱式(模糊)的方式和顯示(明確)的方式。 今天依舊有大量的軟件應用是使用隱式的訪問控制方式。

java web項目中後臺控制層對參數進行定義驗證 類 Pattern

span 快捷方式 pattern 例如 att ice 模式 匹配 ret Pattern pattern = Pattern.compile("/^([1-9]\\d+元*|[0]{0,1})$/");//將給定的正則表達式編譯到模式中 if(!"".equals

duilib中將xml封裝為控制元件簡單示例(簡單定義控制元件,封裝幾個基本控制元件合為1個定義控制元件)

使用duilib的時候,難免會有這樣的需求: 某一塊Container(Layout)以及裡面的佈局需要重複用,不想每次都複製貼上這麼多,要不然xml太大了; 通過繼承來自定義一個控制元件,比如CButtonUIEx之類的,想讓他像button一樣在xml中被識別; xml裡面的東西

[Xcode10 實際操作]四、常用控制元件-(5)UILabel文字標籤定義文字樣式

本文將演示給標籤物件新增描邊效果,在專案資料夾上,點選滑鼠右鍵選單, 選擇【Create File】->【Cocoa Touch Class】->【Next】-> 【Class】:MyLabel 【Subclass of 】:UILabel 【Language】:Swift -&g

ssm整合shiro通過定義Realm實現認證登入、許可權處理、定義role攔截、MD5加密

整合後實現功能 1.登入認證 2.許可權處理 3.自定義role攔截 4.md5加密 ssm整合shiro步驟 先看看整合完成後的專案結構 新建一個maven專案 配置pom.xml檔案 <?xml version="1.0" encoding="UT

編寫Qt Designer定義控制元件(二)——編寫定義控制元件介面

        既然是控制元件,就應該有介面,預設生成的控制元件類只是一個繼承了QWidget的類,如下: #ifndef LOGLATEDIT_H #define LOGLATEDIT_H #include <QWidget> class LogLat

Add role-based access and password recovery to your PHP application

In Part 1, I explained the basics of the Passport API and walked you through the process of integrating Passport with a PHP applicati

Android-UI控制元件的繪製流程以及定義控制元件的具體操作

  View檢視安卓應用中非常重要的組成部分,它不僅是構成應用介面的基本單元,還是與使用者互動的最直接物件。檢視View作為介面的基本元素,是由View System進行管理的。   在Android中,檢視控制元件主要被分成兩大類,一類是單一控制元件View,另外一類

Android定義控制元件(二)-給定義控制元件新增事件

在這篇部落格中主要講解給Android自定義控制元件新增點選事件,實現可以按住百分比圓圈在螢幕上進行拖動圓圈的功能。分兩部分講,第一部分是獲取自定義控制元件的座標,第二部分是重新繪製控制元件。 第一部分:獲取自定義控制元件座標 首先看一張圖,這是自定義控制元件中獲