Azure ARM (17) 基于角色的访问控制 (Role Based Access Control, RBAC) - 自定义Role
Posted Azure Lei Zhang的博客
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Azure ARM (17) 基于角色的访问控制 (Role Based Access Control, RBAC) - 自定义Role相关的知识,希望对你有一定的参考价值。
《Windows Azure Platform 系列文章目录》
在上面一篇博客中,笔者介绍了如何在RBAC里面,设置默认的Role。
这里笔者将介绍如何使用自定的Role。
主要内容有:
一.了解Role中的Action和NotAction
二.通过PowerShell,查看相应的Action
三.编辑json Template,自定义Role
四.设置相应的Role
五.删除自定义Role
一.了解Role中的Action和NotAction
比如SQL DB Contributor这个Role,权限如下
允许的操作是Actions的操作,减去NotActions的操作。这个概念非常非常重要。
允许的操作是Actions的操作,减去NotActions的操作。这个概念非常非常重要。
允许的操作是Actions的操作,减去NotActions的操作。这个概念非常非常重要。
The access granted by a custom role is computed by subtracting the NotActions operations from the Actions operations.
二.通过PowerShell,查看相应的Action
我们知道在Azure ARM里面有非常多的服务,比如Azure Storage, Azure Virtual Machine, Azure SQL Database等。
还有非常多的操作,比如Read, Delete, List等等。
如果需要了解具体每一个服务和相应的操作步骤,我们需要查询相应的操作步骤Action。
具体命令如下:
#登录Azure China,以Admin身份登录 Add-AzureRmAccount -Environment AzureChinaCloud #选择当前订阅 Select-AzureRmSubscription -SubscriptionName \'[订阅名称]\' #获得所有对存储Storage的操作 Get-AzureRmProviderOperation Microsoft.Storage/* #获得所有对虚拟机VM的只读操作 Get-AzureRmProviderOperation Microsoft.Compute/*/read
在输出的内容中,我们可以选择相应的Action。图略。
三.编辑json Template,自定义Role
1.通过上面的Get-AzureRmProviderOperation语句,我们就可以查看到具体的操作。
在编辑json template之前,我们需要查看默认Role的Name和ID,防止自定义的Name和ID与默认的Role冲突。
具体的命令如下:
#登录Azure China,以Admin身份登录 Add-AzureRmAccount -Environment AzureChinaCloud #选择当前订阅 Select-AzureRmSubscription -SubscriptionName \'[订阅名称]\' #查看Azure已经存在的Role的Name,Id,IsCustom属性 Get-AzureRmRoleDefinition | Select Name,Id,IsCustom
执行结果如下图:
2.然后我们就可以编辑json Template,模板如下:
{ //这里是自定义Role的名称,请不要与Azure默认的Name冲突 "Name": "Cannot Delete Storage Account Role", //这里是Role的ID,请不要与Azure默认的Id冲突 "Id": "11794e3b-eeeb-4e5c-a98b-27cc053a0b35", //因为是自定义设置,所以Value为true "IsCustom": true, //这里是简单的Role的描述 "Description": "Cannot Delete Storage Account Role.", "Actions": [ //这里是允许的操作 //对Azure Storage进行只读操作 "Microsoft.Storage/*/read", //查看Role "Microsoft.Authorization/*/read", //对Resource Group的只读操作 "Microsoft.Resources/subscriptions/resourceGroups/read" ], "NotActions": [ //请注意,这里不是拒绝的操作。 //用户最终的权限,是Actions,减去NotActions的权限 //The access granted by a custom role is computed by subtracting the NotActions operations from the Actions operations. //https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-custom-roles#notactions ], "AssignableScopes": [ //修改下面的subscription Id为用户Azure订阅ID "/subscriptions/11111111-2222-3333-4444-1e2900a4504b" ] }
将上面的文件保存为json格式,放在D盘根目录下,路径为D:\\cannotdeletestorage.json
4.然后我们执行下面的Azure Powershell,把上面的cannotdeletestorage.json上传到Azure
#登录Azure China,以Admin身份登录 Add-AzureRmAccount -Environment AzureChinaCloud #选择当前订阅 Select-AzureRmSubscription -SubscriptionName \'[订阅名称]\' #上传本地PC机器上的json template文件 New-AzureRmRoleDefinition -InputFile \'D:\\cannotdeletestorage.json\'
执行成功后如下图:
四.设置相应的Role
1.打开Chrome浏览器,我们以服务管理员身份(Admin),登录Azure ARM Portal: https://portal.azure.cn
2.创建1个存储账户,还有2个Azure SQL Database资源。如下图:
可以看到一共有5个资源:
3.点击Azure Active Directory,把readonly账户,设置为自定义Role:Cannot Delete Storage Account Role
4.打开IE浏览器,以readonly账户登录Azure ARM Portal: https://portal.azure.cn,查看到的结果如下图:
可以看到只有1个资源。
这是因为我们在json template里面设置了Action
"Actions": [ //这里是允许的操作 //对Azure Storage进行只读操作 "Microsoft.Storage/*/read", //查看Role "Microsoft.Authorization/*/read", //对Resource Group的只读操作 "Microsoft.Resources/subscriptions/resourceGroups/read" ],
对Storage存储账户是只读操作的,对Azure SQL Database不进行任何操作。所以readonly这个账户无法看到Azure SQL Database相应的资源。
5.因为readonly账户对Storage存储账户是只读操作的,所以无法删除存储账户。结果如下图:
五.删除自定义Role
1.如果用户不希望继续使用自定义Role,可以按照以下步骤操作。
2.打开Chrome浏览器,我们以服务管理员身份(Admin),登录Azure ARM Portal: https://portal.azure.cn。
把readonly账户删除自定义Role。如下图:
3.在Azure PowerShell里面执行以下命令:
#登录Azure China,以Admin身份登录 Add-AzureRmAccount -Environment AzureChinaCloud #选择当前订阅 Select-AzureRmSubscription -SubscriptionName \'[订阅名称]\' #可以根据自定义Role的Name进行删除 Remove-AzureRmRoleDefinition -Name \'Cannot Delete Storage Account Role\' #或者根据自定义Role的ID,进行删除 Remove-AzureRmRoleDefinition -Id \'[RoleID]\'
执行结果:
最后如果大家有兴趣的话,可以查看下面这个自定义Role所拥有的权限
{ "Name": "Virtual Machine Operator", "Id": "cadb4a5a-4e7a-47be-84db-05cad13b6769", "IsCustom": true, "Description": "Can monitor and restart virtual machines.", "Actions": [ "Microsoft.Storage/*/read", "Microsoft.Network/*/read", "Microsoft.Compute/*/read", "Microsoft.Compute/virtualMachines/start/action", "Microsoft.Compute/virtualMachines/restart/action", "Microsoft.Authorization/*/read", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Insights/alertRules/*", "Microsoft.Insights/diagnosticSettings/*", "Microsoft.Support/*" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e", "/subscriptions/e91d47c4-76f3-4271-a796-21b4ecfe3624", "/subscriptions/34370e90-ac4a-4bf9-821f-85eeedeae1a2" ] }
{
"properties": {
"roleName": "AML-Role",
"description": "",
"assignableScopes": [
"/subscriptions/3851f1a6-e76d-4c8b-b204-0809652cbe98"
],
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/*",
"Microsoft.MachineLearningServices/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
以上是关于Azure ARM (17) 基于角色的访问控制 (Role Based Access Control, RBAC) - 自定义Role的主要内容,如果未能解决你的问题,请参考以下文章