Блог

Я пытаюсь использовать RBAC, чтобы позволить другим разработчикам развертывать контейнеры в Azure без предоставления полных прав администратора. Я попытался добавить в качестве читателя и участника, но, похоже, это не сработало. Кто-нибудь еще реализовал это / есть какие-либо другие идеи?

Вы можете использовать портал Azure, чтобы назначить встроенную роль RBAC для хранилища. Существуют следующие встроенные роли RBAC:

• Владелец данных большого двоичного объекта хранилища: используется для установки владельца и управления контролем доступа POSIX для хранилища Azure Data Lake Gen2 (предварительный просмотр).
• Источник данных хранилища больших двоичных объектов: используется для предоставления разрешений на чтение / запись / удаление ресурсам хранилища больших двоичных объектов.
• Средство чтения данных больших двоичных объектов хранилища: используется для предоставления разрешений только для чтения ресурсам хранилища больших двоичных объектов.
• Источник данных очереди хранения: используется для предоставления разрешений на чтение / запись / удаление очередям Azure.
• Средство чтения данных очереди хранилища: используется для предоставления очередям Azure разрешений только для чтения.
• Обработчик сообщений данных очереди хранилища: используется для предоставления разрешений на просмотр, извлечение и удаление сообщений в очередях хранилища Azure.
• Отправитель сообщений данных очереди хранилища: используется для предоставления разрешений на добавление сообщений в очереди хранилища Azure.

Процесс назначения встроенной роли RBAC:

1. Назначьте соответствующую роль RBAC хранилища Azure для предоставления доступа участнику безопасности Azure AD.

2. Назначьте роль Azure Resource Manager Reader пользователям, которым необходимо получить доступ к контейнерам или очередям через портал Azure, используя свои учетные данные Azure AD.

О пошаговом:

1. На портале Azure перейдите к своей учетной записи хранилища и отобразите обзор для этой учетной записи.
2. В разделе Службы выберите большие двоичные объекты (для примера).
3. Найдите контейнер, для которого вы хотите назначить роль, и отобразите настройки контейнера.
4. Выберите Управление доступом (IAM), чтобы отобразить параметры управления доступом для контейнера. Выберите вкладку Назначения ролей, чтобы просмотреть список назначений ролей.

5. Нажмите кнопку Добавить назначение роли, чтобы добавить новую роль.
6. В окне Добавление назначения ролей выберите роль хранилища Azure, которую вы хотите назначить. Затем выполните поиск, чтобы найти участника безопасности, которому вы хотите назначить эту роль.
7. Нажмите Сохранить.

Подробнее вы можете прочитать здесь.