写点什么

Azure 发布基于角色的访问控制通用版本

  • 2016-01-12
  • 本文字数:1167 字

    阅读完需:约 4 分钟

2015 年 10 月份,微软宣布 Azure 基于角色的访问控制(RBAC)功能已完成了通用版本。开发此功能的目的是为组织提供更精准的粒度,尤其是当个人或团体访问 Azure 资源和服务器的时候。

RBAC 可以提供中心治理模式,这个中心治理模式意即 IT 维护部门可以对云环境进行总体控制,可以利用团队所具有的访问服务器的级别来分配 DevOps 或项目。微软项目经理 Dushyant Gill 进一步解释说,“使用 Azure RBAC,就能实现项目团队的云资源自助管理,同时还能保留对安全基础设施的集中控制权。举例来说,项目团队创建和管理自己的虚拟机和存储帐户需要一个共同的设置是,而这个设置必须要连接到中央管理网络。”

正如微软高级技术开发者 Ingrid Henkel 所说的那样,微软在分配权限给不同身份和团队的时候,使用分层的方法,“Azure 里的每一个订阅都仅属于一个目录,每个资源组都只属于一个订阅,并且每一个资源也只属于一个资源组。”

一旦使用 RBAC,用户就只有通过分配到的合适的 RBAC 角色才能在正确的范围内访问。一个用户只需要访问特定资源,而不能访问订阅中的其他资源。

从历史上看,在经典的订阅模式里,管理员和联合管理员具有访问 Azure 订阅的全部权限。这往往会导致企业用户有更多的可访问的内容。在新的 RBAC 模型中,有 3 种基本的内置角色:

  • RBAC 角色拥有者有充分的资源和授权访问能力
  • 访问贡献者可以创建和管理 Azure 资源,但不能授权访问
  • 授权访问的读者只能查看现有的 Azure 资源

经典模型中的管理员在 RBAC 模型中其实已经拥有所有者权限了。除了这些基本的内置功能,微软为具体的产品和服务发布了一个完整的内置角色清单,例如包括 SQL 数据库和网络贡献者。

RBAC 模型不仅支持权限继承,还能将权限继续从订阅级联到资源组。如果将继承权限应用于某个资源组,则该权限级别将属于该资源组。如果权限被继承,只有最高级别的管理者才能对其权限栈进行修改。RBAC 权限在很多经典入口是找不到的,但是却可以在新的 Azure 入口分配。RBAC 权限还可以被应用于使用 PowerShell 或 Azure 的命令行界面。

对于具备自定义功能的组织方来说,他们有能力使用 RBAC 命令行工具。这有点像内置功能,可以分配给用户、团队和应用程序。在下图中,有一个被称为 Virtual Machine Operator 的自定义规则,提供所有必要的权限或操作来监视和重启虚拟机。

微软还提供了一份报告,这份报告指出组织应该从整体角度看待在过去 90 天里所有已经授权或已撤销的权限。

查看英文原文: Azure Role-based Access Control Reaches General Availability


感谢艾利特对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群InfoQ 好读者(已满),InfoQ 读者交流群(#2)InfoQ 好读者)。

2016-01-12 18:002053
用户头像

发布了 25 篇内容, 共 81387 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

深入浅出学习透析Nginx服务器的架构分析及原理分析「底层技术原理+运作架构机制」

码界西柚

nginx 负载均衡 反向代理 优化架构

2022最新MySQL高频面试题汇总

程序员大彬

MySQL 数据库 计算机

一图回顾博睿数据的2022

博睿数据

年度报告 博睿数据

QEMU与KVM架构介绍

Linux内核拾遗

Linux 虚拟化 qemu kvm

一种面向业务配置基于JSF广播定时生效的工具

京东科技开发者

jdk 后段技术 企业号 1 月 PK 榜 ducc jsf

代码影响范围工具探索

京东科技开发者

测试 源代码 企业号 1 月 PK 榜 代码影响范围

“零”代码改动,静态编译让太乙Stable Diffusion推理速度翻倍

OneFlow

人工智能 深度学习

【新春特惠周末班】2月4-5日在线CSPO“价值交付课程” | 全国招生

ShineScrum

产品负责人 CSPO认证 CSPO

喜报|HarmonyOS开发者社区连获业内奖项,持续深耕开发者生态

HarmonyOS开发者

HarmonyOS

【春季2月CSM认证周末班】提前报名特惠--“全球金牌”课程CST导师亲授

ShineScrum

ScrumMaster 项目经理 ScrumMaster认证 CSM认证

企业数字化转型,工具先行

飞算JavaAI开发助手

Electron打包错误的踩坑小记

茶无味的一天

前端 Electron Node electron实战

Transformer 再添一员,比 Swin 更强的 DiNAT

Zilliz

Datawhale学习笔记【阿里云天池 金融风控-贷款违约预测】Task2 数据分析

一颗小树

京东探索研究院 | 2023年十大科技趋势

京东科技开发者

京东 技术分享 京东云 技术预测 企业号 1 月 PK 榜

我理解的卓越工程

agnostic

卓越工程

“祝福海报”小程序走红,AIGC走进“千家万户”

科技热闻

KaiwuDB CTO 魏可伟:1.0 时序数据库技术解读

KaiwuDB

时序数据库 多模数据库 技术优势

模块二作业 (架构实战训练营)

Justin

架构实战营

TiCDC 源码阅读(三)TiCDC 集群工作过程解析

PingCAP

TiDB 源码解读

从做技术到做技术管理

石云升

极客时间 技术管理 1月月更 技术领导力实战笔记

一份价格,双份收货,彻底搞定 PPT,兔年解放你自己

博文视点Broadview

2022年度回顾|龙蜥这一年:协同开放 众行致远

OpenAnolis小助手

开源社区 龙蜥 贡献 协同开放

如何通过Java代码在PDF中插入、替换或删除图像?

在下毛毛雨

Java PDF 图像

也谈证券行业数字化转型中的业务与IT融合(上)

王和全

敏捷 需求管理 需求 数字化转型 需求分析

采购LED显示屏要注意的五大技术参数

Dylan

LED显示屏 全彩LED显示屏 led显示屏厂家

【春季2月A-CSM特惠周末班】ScrumMaster进阶课程 · CST导师亲授

ShineScrum

敏捷教练 高阶SM 敏捷教练技能

设计文档概述

五毛

设计原则

2022年度 FinClip 扩展SDK推荐!

FinClip

全球化商家平台技术探索与演进

阿里技术

全球化 架构演进

开源SPL强化MangoDB计算

石臻臻的杂货铺

开源 SPL

Azure发布基于角色的访问控制通用版本_架构_Kent Weare_InfoQ精选文章