Azure Administrator认证学习指南之了解 Azure 中的不同角色-04
作为Azure管理员,若要管理Azure资源的访问权限,必须具有相应的管理员角色。Microsoft Azure 有一个称为基于角色的访问控制 (RBAC) 的授权系统,其中包含了你可以选择的多个内置角色。 可以在不同的作用域(例如,管理组、订阅或资源组)分配这些角色。
首先,我们先了解下Microsoft Azure中不同的角色。
熟悉Azure的朋友都知道,Microsoft Azure平台有两种资源使用模型,一种称之为”Azure服务管理”,另一种称之为”Azure资源管理”[本文不做两者区别介绍],因此在角色管理上,主要有三种管理类型:
- 经典订阅管理员角色
- Azure基于角色的访问控制(RBAC)角色
- Azure Active Directory (Azure AD)管理员角色
Azure最初发布时,对资源的访问权限只是通过以下三种管理员角色进行管理:帐户管理员、服务管理员和共同管理员。后来,针对Azur资源添加了基于角色的访问控制 (RBAC)。 Azure RBAC是一个较新的授权系统,它针对Azure 资源提供精细的访问管理。RBAC包括许多内置角色,可在不同的范围进行分配,并允许你创建自己的自定义角色。若要管理Azure AD中的资源(例如用户、组和域),可以使用多种Azure AD管理员角色。
下图表示了经典订阅管理员角色、Azure RBAC 角色与 Azure AD 管理员角色之间的相互关系。
经典订阅管理员角色
帐户管理员、服务管理员和协同管理员是Azure中的三种经典订阅管理员角色。 经典订阅管理员对Azure订阅拥有完全访问权限。他们可以使用Azure门户、Azure资源管理器API和经典部署模型API来管理资源。用于注册Azure的帐户会自动同时设置为帐户管理员和服务管理员。 然后,可以添加其他协同管理员。 服务管理员和共同管理员拥有在订阅范围内分配有”所有者”角色(Azure RBAC 角色)的用户的等效访问权限。
下表描述了这三种经典订阅管理角色之间的差别。
|
经典订阅管理员 |
限制 |
权限 |
说明 |
|
帐户管理员 |
每个Azure帐户有 1 个 |
|
|
|
服务管理员 |
每个Azure帐户有 1 个 |
|
|
|
协同管理员 |
每个订阅有 200 个 |
|
|
在Azure门户中,可以使用”经典管理员”选项卡管理共同管理员或查看服务管理员。
在Azure门户中,可以在订阅的属性边栏选项卡上,查看或更改服务管理员,或是查看帐户管理员
Azure 帐户和 Azure 订阅
Azure帐户代表计费关系。一个Azure帐户代表一个用户标识、一个或多个 Azure订阅和一组关联的Azure资源。创建帐户的人员是该帐户中创建的所有订阅的帐户管理员。此人也是订阅的默认服务管理员。
Azure订阅可帮助你管理Azure资源的访问权限。 它们还可帮助控制如何根据资源使用量生成报告、计费及付费。每个订阅可以采用不同的计费和付款设置,因此,根据公司、业务部门、项目等因素,可以采用不同的订阅和不同的计划。 每个服务属于一个订阅,执行编程操作时可能需要订阅ID。
Azure RBAC 角色
Azure RBAC是基于Azure资源管理器构建的授权系统,它针对Azure资源(例如计算和存储)提供精细的访问权限管理。Azure RBAC包括70多个内置角色。有四个基本的RBAC角色。前三个角色适用于所有资源类型:
|
Azure RBAC角色 |
权限 |
说明 |
|
所有者 |
|
|
|
参与者 |
|
|
|
只读用户 |
|
|
|
用户访问管理员 |
|
剩余的内置角色允许管理特定的Azure资源。例如,虚拟机参与者角色允许用户创建和管理虚拟机。
只有Azure门户和Azure资源管理器API支持Azure RBAC。分配有RBAC角色的用户、组和应用程序无法使用Azure经典部署模型API。
在Azure门户中,使用RBAC的角色分配显示在”访问控制(IAM)”边栏选项卡上。在整个门户中都可以找到此边栏选项卡,例如,在管理组、订阅、资源组和各种资源所在的部分。
单击”角色″选项卡时,会看到内置角色和自定义角色的列表
Azure AD管理员角色
Azure AD管理员角色用于管理目录中的Azure AD资源,例如,创建或编辑用户、将管理角色分配给其他人、重置用户密码、管理用户许可证以及管理域。 下表描述了几个更重要的Azure AD管理员角色。
|
Azure AD 管理员角色 |
权限 |
说明 |
|
全局管理员 |
|
|
|
用户管理员 |
|
|
|
计费管理员 |
|
在Azure门户中的”角色和管理员”边栏选项卡上,可以看到Azure AD管理员角色的列表
Azure RBAC角色与Azure AD管理员角色之间的差别比较
从顶层设计角度看,Azure RBAC角色控制Azure资源的管理权限,而Azure AD管理员角色控制Azure Active Directory资源的管理权限
|
Azure RBAC角色 |
Azure AD管理员角色 |
|
管理对Azure资源的访问 |
管理对Azure Active Directory资源的访问 |
|
支持自定义角色 |
无法创建自己的角色 |
|
可在多个级别(管理组、订阅、资源组、资源)指定范围 |
范围为租户级别 |
|
可在Azure门户、Azure CLI、Azure PowerShell、Azure资源管理器模板、REST API 中访问角色信息 |
可在Azure管理门户、Microsoft 365 管理中心、Microsoft Graph、Azure AD PowerShell中访问角色信息 |
默认情况下,Azure RBAC角色和Azure AD管理员角色不会跨越Azure与 Azure AD。但是,如果全局管理员通过在Azure门户中选择”全局管理员可以管理Azure订阅和管理组”开关提升了自己的访问权限,则会针对特定租户的所有订阅为全局管理员授予用户访问管理员角色(一种 RBAC角色)。”用户访问管理员”角色允许用户向其他用户授予对Azure资源的访问权限。此开关可帮助重新获取订阅的访问权限。
有多个Azure AD管理员角色(例如全局管理员和用户管理员角色)可跨越 Azure AD和Microsoft Office 365。例如,如果你是全局管理员角色的成员,则会获得Azure AD和Office 365中的全局管理员功能,例如,对Microsoft Exchange 和Microsoft SharePoint进行更改。但是,在默认情况下,全局管理员无权访问 Azure资源。
本文固定链接: http://365vcloud.net/2019/07/16/azure-admin-roles/ | 365vCloud的云计算之旅
