当前位置: 首页 > Microsoft Azure > 正文

Azure Administrator认证学习指南之了解 Azure 中的不同角色-04

作为Azure管理员,若要管理Azure资源的访问权限,必须具有相应的管理员角色。Microsoft Azure 有一个称为基于角色的访问控制 (RBAC) 的授权系统,其中包含了你可以选择的多个内置角色。 可以在不同的作用域(例如,管理组、订阅或资源组)分配这些角色。

首先,我们先了解下Microsoft Azure中不同的角色。

    熟悉Azure的朋友都知道,Microsoft Azure平台有两种资源使用模型,一种称之为”Azure服务管理”,另一种称之为”Azure资源管理”[本文不做两者区别介绍],因此在角色管理上,主要有三种管理类型:

  • 经典订阅管理员角色
  • Azure基于角色的访问控制(RBAC)角色
  • Azure Active Directory (Azure AD)管理员角色

Azure最初发布时,对资源的访问权限只是通过以下三种管理员角色进行管理:帐户管理员、服务管理员和共同管理员。后来,针对Azur资源添加了基于角色的访问控制 (RBAC)。 Azure RBAC是一个较新的授权系统,它针对Azure 资源提供精细的访问管理。RBAC包括许多内置角色,可在不同的范围进行分配,并允许你创建自己的自定义角色。若要管理Azure AD中的资源(例如用户、组和域),可以使用多种Azure AD管理员角色。

下图表示了经典订阅管理员角色、Azure RBAC 角色与 Azure AD 管理员角色之间的相互关系。


经典订阅管理员角色

帐户管理员、服务管理员和协同管理员是Azure中的三种经典订阅管理员角色。 经典订阅管理员对Azure订阅拥有完全访问权限。他们可以使用Azure门户、Azure资源管理器API和经典部署模型API来管理资源。用于注册Azure的帐户会自动同时设置为帐户管理员和服务管理员。 然后,可以添加其他协同管理员。 服务管理员和共同管理员拥有在订阅范围内分配有”所有者”角色(Azure RBAC 角色)的用户的等效访问权限。

下表描述了这三种经典订阅管理角色之间的差别。

经典订阅管理员

限制

权限

说明

帐户管理员

每个Azure帐户有 1 个

  • 访问 Azure 帐户中心
  • 管理帐户中的所有订阅
  • 创建新订阅
  • 取消订阅
  • 更改订阅的计费
  • 更改服务管理员
  • 在概念上是订阅的计费所有者
  • 帐户管理员无权访问 Azure 门户

服务管理员

每个Azure帐户有 1 个

  • 在Azure门户中管理服务
  • 将用户分配到共同管理员角色
  • 默认情况下,新订阅的帐户管理员也是服务管理员
  • 服务管理员拥有在订阅范围内分配有”所有者”角色的用户的等效访问权限
  • 服务管理员具有 Azure 门户的完全访问权限

协同管理员

每个订阅有 200 个

  • 与服务管理员的访问特权相同,但无法更改订阅与 Azure 目录之间的关联。
  • 将用户分配到共同管理员角色,但无法更改服务管理员
  • 共同管理员拥有在订阅范围内分配有”所有者”角色的用户的等效访问权限

在Azure门户中,可以使用”经典管理员”选项卡管理共同管理员或查看服务管理员。


在Azure门户中,可以在订阅的属性边栏选项卡上,查看或更改服务管理员,或是查看帐户管理员


Azure 帐户和 Azure 订阅

Azure帐户代表计费关系。一个Azure帐户代表一个用户标识、一个或多个 Azure订阅和一组关联的Azure资源。创建帐户的人员是该帐户中创建的所有订阅的帐户管理员。此人也是订阅的默认服务管理员。

Azure订阅可帮助你管理Azure资源的访问权限。 它们还可帮助控制如何根据资源使用量生成报告、计费及付费。每个订阅可以采用不同的计费和付款设置,因此,根据公司、业务部门、项目等因素,可以采用不同的订阅和不同的计划。 每个服务属于一个订阅,执行编程操作时可能需要订阅ID。

Azure RBAC 角色

Azure RBAC是基于Azure资源管理器构建的授权系统,它针对Azure资源(例如计算和存储)提供精细的访问权限管理。Azure RBAC包括70多个内置角色。有四个基本的RBAC角色。前三个角色适用于所有资源类型:

Azure RBAC角色

权限

说明

所有者

  • 对所有资源的完全访问权限
  • 将访问权限委托给其他人
  • 服务管理员和共同管理员在订阅范围内分配有”所有者”角色
  • 适用于所有资源类型

参与者

  • 建和管理所有类型的 Azure 资源
  • 无法将访问权限授予其他人
  • 适用于所有资源类型

只读用户

  • 查看 Azure 资源
  • 适用于所有资源类型

用户访问管理员

  • 管理用户对 Azure 资源的访问

    剩余的内置角色允许管理特定的Azure资源。例如,虚拟机参与者角色允许用户创建和管理虚拟机。

只有Azure门户和Azure资源管理器API支持Azure RBAC。分配有RBAC角色的用户、组和应用程序无法使用Azure经典部署模型API。

在Azure门户中,使用RBAC的角色分配显示在”访问控制(IAM)”边栏选项卡上。在整个门户中都可以找到此边栏选项卡,例如,在管理组、订阅、资源组和各种资源所在的部分。


单击”角色″选项卡时,会看到内置角色和自定义角色的列表


Azure AD管理员角色

Azure AD管理员角色用于管理目录中的Azure AD资源,例如,创建或编辑用户、将管理角色分配给其他人、重置用户密码、管理用户许可证以及管理域。 下表描述了几个更重要的Azure AD管理员角色。

Azure AD

管理员角色

权限

说明

全局管理员

  • 管理对 Azure Active Directory 中所有管理功能的访问,以及与 Azure Active Directory 联合的服务
  • 将管理员角色分配给其他人
  • 重置任何用户和其他所有管理员的密码
  • 注册Azure Active Directory租户的人员将成为全局管理员

用户管理员

  • 创建和管理用户与组的所有方面
  • 管理发票
  • 监视服务运行状况
  • 更改用户、支持管理员和其他用户帐户管理员的密码

计费管理员

  • 购买产品
  • 管理订阅
  • 管理发票
  • 监视服务运行状况

在Azure门户中的”角色和管理员”边栏选项卡上,可以看到Azure AD管理员角色的列表


Azure RBAC角色与Azure AD管理员角色之间的差别比较

从顶层设计角度看,Azure RBAC角色控制Azure资源的管理权限,而Azure AD管理员角色控制Azure Active Directory资源的管理权限

Azure RBAC角色

Azure AD管理员角色

管理对Azure资源的访问

管理对Azure Active Directory资源的访问

支持自定义角色

无法创建自己的角色

可在多个级别(管理组、订阅、资源组、资源)指定范围

范围为租户级别

可在Azure门户、Azure CLI、Azure PowerShell、Azure资源管理器模板、REST API 中访问角色信息

可在Azure管理门户、Microsoft 365 管理中心、Microsoft Graph、Azure AD PowerShell中访问角色信息

默认情况下,Azure RBAC角色和Azure AD管理员角色不会跨越Azure与 Azure AD。但是,如果全局管理员通过在Azure门户中选择”全局管理员可以管理Azure订阅和管理组”开关提升了自己的访问权限,则会针对特定租户的所有订阅为全局管理员授予用户访问管理员角色(一种 RBAC角色)。”用户访问管理员”角色允许用户向其他用户授予对Azure资源的访问权限。此开关可帮助重新获取订阅的访问权限。

有多个Azure AD管理员角色(例如全局管理员和用户管理员角色)可跨越 Azure AD和Microsoft Office 365。例如,如果你是全局管理员角色的成员,则会获得Azure AD和Office 365中的全局管理员功能,例如,对Microsoft Exchange 和Microsoft SharePoint进行更改。但是,在默认情况下,全局管理员无权访问 Azure资源。

本文固定链接: http://365vcloud.net/2019/07/16/azure-admin-roles/ | Eric的学习之路

该日志由 TingXu 于2019年07月16日发表在 Microsoft Azure 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: Azure Administrator认证学习指南之了解 Azure 中的不同角色-04 | Eric的学习之路
关键字: ,

Azure Administrator认证学习指南之了解 Azure 中的不同角色-04:等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!