Azure 所有者角色和共同管理员之间的区别

【问题标题】:Difference between Azure Owner role and Co-AdministratorAzure 所有者角色和共同管理员之间的区别
【发布时间】:2018-10-12 16:05:00
【问题描述】:

我们的订阅有 5 个资源组。根据 Microsoft 文档,在订阅级别设置时,较旧的“共同管理员”角色等同于较新的 RBAC 角色“所有者”。

https://docs.microsoft.com/en-us/azure/role-based-access-control/rbac-and-directory-admin-roles

服务管理员和共同管理员拥有 已分配 Owner 角色的用户的等效访问权限(一个 Azure RBAC 角色)在订阅范围内。

我没有看到这种行为。当我的帐户角色在订阅级别设置为所有者时,我看不到任何资源组。当我将同一个帐户设置为共同管理员时,我可以看到所有 5 个资源组。

如何使用较新的 RBAC 角色让所有者查看订阅中的所有资源组?

【问题讨论】:

  • 更新:如果我给作为订阅所有者的帐户“全局管理员”目录角色,它可以看到所有资源组,但我不知道如果订阅为什么需要这样做所有者应拥有该订阅的所有权利。
  • 请检查您是否对这些资源组有任何特定的角色分配以删除继承的资源组..
  • 我们没有任何覆盖。如果没有全局管理员角色,它只能查看它自己创建的资源组。
  • 您能否分享订阅的访问控制 (IAM) 视图的屏幕截图(必要时已编辑)和资源组的屏幕截图?并验证资源组是否确实在相关订阅中?

标签: azure-active-directory azure-security


【解决方案1】:

您可以使用 Azure AD PowerShell 创建用户,然后将“所有者”角色授予用户。更多详情请参考document

#create user
Connect-AzureAD
$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "Wdsr199545!"
New-AzureADUser -DisplayName "test User" -PasswordProfile $PasswordProfile -UserPrincipalName "test@hanxia.onmicrosoft.com" -AccountEnabled $true -MailNickName "testuser"

#grant access 
Login-AzureRmAccount
$sub = Get-AzureRmSubscription
$scope = "/subscriptions/" + $sub.Id
New-AzureRmRoleAssignment -SignInName test@hanxia.onmicrosoft.com -Scope $scope -RoleDefinitionName Owner

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2015-01-24
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-04-16
    • 2011-01-13
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode