#azure #rbac
#azure #rbac
Вопрос:
Может ли пользователь, имеющий доступ только для чтения в группе ресурсов, По-прежнему использовать ресурс (НЕ управлять с помощью таких действий, как изменение или масштабирование, но фактически использовать его как RDP в случае виртуальной машины и добавлять таблицы и т.д. В случае DB).
Сценарий: Если у меня есть база данных SQL Azure (AZSQL) в группе ресурсов (RG), где пользователь (USR) имеет доступ только для чтения к группе ресурсов и ее содержимому. Сможет ли пользователь (USR) работать с базой данных для хранения извлечения данных и выполнять все операции CRUD (СОЗДАНИЕ, ЧТЕНИЕ, ОБНОВЛЕНИЕ и УДАЛЕНИЕ) над ней.
Цель состоит в том, чтобы ограничить доступ пользователей к простому использованию ресурсов и не давать им возможности изменять конфигурацию или настройку ресурсов. Пример сценария упомянут выше.
PS: Обновленный сценарий для SQL DB, когда я понял, что CosmosDB все еще ожидает RBAC с Azure AD
Комментарии:
1. Что вы имеете в виду под использованием ? Доступ к данным в приложении или к ресурсу на портале azure?
2. @PeterBons: теперь я прояснил больше в своем примере, взгляните.
3. @TonyJu: я не хочу использовать contribute, его неудобно использовать для обычного использования ресурса. Это даст им возможность управлять ресурсом тоже. Это то, что я пытаюсь разделить, использование ресурса и управление или масштабирование ресурса
4. @mohitsharma Вот почему я рекомендовал вам использовать пользовательскую роль. Вы можете определить роль самостоятельно в соответствии со своими потребностями.
5. @mohitsharma Нажмите «Отметить как ответ» на сообщение, которое помогает вам, и проголосуйте за него как за полезное, это может быть полезно для других членов сообщества.
Ответ №1:
В вашем конкретном сценарии это, безусловно, возможно. Я сам этого не пробовал, но можно назначить роли управления доступом на основе ролей (RBAC) учетной записи Cosmos DB.
Что вам нужно будет сделать, так это назначить пользователя Cosmos DB Account Reader Role .
Чтобы добавить пользователя и назначить роль, пожалуйста, ознакомьтесь с этим link .
После этого пользователь сможет считывать данные из учетной записи. Я не уверен, какие другие операции пользователь сможет выполнять в этой роли.
Ответ №2:
Я проверил это на своей стороне. Если вы назначите пользователю роль пользователя для чтения учетной записи Cosmos DB, пользователь сможет считывать из нее данные, но не сможет выполнять другие операции (например, сохранять и удалять).
Вам нужно назначить роль пользователя contributor, тогда пользователь сможет хранить данные, а также настраивать параметры. Таким образом, встроенные роли для вас неприменимы.
Вы можете создавать свои собственные пользовательские роли в соответствии с вашими потребностями. Точно так же, как встроенные роли, вы можете назначать пользовательские роли пользователям, группам и участникам службы в подписке, группе ресурсов и областях ресурсов.