写点什么

Azure 发布基于角色的访问控制通用版本

  • 2016-01-12
  • 本文字数:1167 字

    阅读完需:约 4 分钟

2015 年 10 月份,微软宣布 Azure 基于角色的访问控制(RBAC)功能已完成了通用版本。开发此功能的目的是为组织提供更精准的粒度,尤其是当个人或团体访问 Azure 资源和服务器的时候。

RBAC 可以提供中心治理模式,这个中心治理模式意即 IT 维护部门可以对云环境进行总体控制,可以利用团队所具有的访问服务器的级别来分配 DevOps 或项目。微软项目经理 Dushyant Gill 进一步解释说,“使用 Azure RBAC,就能实现项目团队的云资源自助管理,同时还能保留对安全基础设施的集中控制权。举例来说,项目团队创建和管理自己的虚拟机和存储帐户需要一个共同的设置是,而这个设置必须要连接到中央管理网络。”

正如微软高级技术开发者 Ingrid Henkel 所说的那样,微软在分配权限给不同身份和团队的时候,使用分层的方法,“Azure 里的每一个订阅都仅属于一个目录,每个资源组都只属于一个订阅,并且每一个资源也只属于一个资源组。”

一旦使用 RBAC,用户就只有通过分配到的合适的 RBAC 角色才能在正确的范围内访问。一个用户只需要访问特定资源,而不能访问订阅中的其他资源。

从历史上看,在经典的订阅模式里,管理员和联合管理员具有访问 Azure 订阅的全部权限。这往往会导致企业用户有更多的可访问的内容。在新的 RBAC 模型中,有 3 种基本的内置角色:

  • RBAC 角色拥有者有充分的资源和授权访问能力
  • 访问贡献者可以创建和管理 Azure 资源,但不能授权访问
  • 授权访问的读者只能查看现有的 Azure 资源

经典模型中的管理员在 RBAC 模型中其实已经拥有所有者权限了。除了这些基本的内置功能,微软为具体的产品和服务发布了一个完整的内置角色清单,例如包括 SQL 数据库和网络贡献者。

RBAC 模型不仅支持权限继承,还能将权限继续从订阅级联到资源组。如果将继承权限应用于某个资源组,则该权限级别将属于该资源组。如果权限被继承,只有最高级别的管理者才能对其权限栈进行修改。RBAC 权限在很多经典入口是找不到的,但是却可以在新的 Azure 入口分配。RBAC 权限还可以被应用于使用 PowerShell 或 Azure 的命令行界面。

对于具备自定义功能的组织方来说,他们有能力使用 RBAC 命令行工具。这有点像内置功能,可以分配给用户、团队和应用程序。在下图中,有一个被称为 Virtual Machine Operator 的自定义规则,提供所有必要的权限或操作来监视和重启虚拟机。

微软还提供了一份报告,这份报告指出组织应该从整体角度看待在过去 90 天里所有已经授权或已撤销的权限。

查看英文原文: Azure Role-based Access Control Reaches General Availability


感谢艾利特对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群InfoQ 好读者(已满),InfoQ 读者交流群(#2)InfoQ 好读者)。

2016-01-12 18:001937
用户头像

发布了 25 篇内容, 共 78785 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

多因子认证是什么意思?与双因子认证有什么区别?

行云管家

身份认证 双因子认证 账户安全

2022年之前,你不得不了解的一些 DevOps 趋势

飞算JavaAI开发助手

☕【权限设计系列】「认证授权专题」史上最全的权限认证服务的权限模型大全

码界西柚

架构设计 12月日更 权限设计 功能设计

白帽近距离|TimeLine Sec安全团队威猛先生

火线安全

恒源云(GPUSHARE)_有关【图像平滑】的论文小记

恒源云

深度学习 CV 图像处理

直播连麦的人工智能回声消除技术探索

融云 RongCloud

58 K8S之集群日志系统

穿过生命散发芬芳

k8s 28天写作 12月日更

世界女性科技群落(四):技术与流行文化顶格发展,日韩女性的科技暗面

脑极体

基于DataX的数据同步(上)-DataX介绍以及安装

恒生LIGHT云社区

MySQL 数据库 数据同步 DataX

物联网之智慧农业应用分析&大数据之数据挖掘技术的应用

亚马逊云科技 (Amazon Web Services)

人工智能 云计算 大数据 物联网

从了解洞态 IAST 到加入开源社区

火线安全

DevSecOps IAST

百度APP视频播放中的解码优化

百度开发者中心

视频 解码技术

Linux中如何设置SSH密钥提升登陆安全性

恒生LIGHT云社区

Linux SSH

实现一个javaagent需要几步?

BUG侦探

Java javaagent IAST

25年,初心未改。

澳鹏Appen

人工智能 机器学习 训练数据 数据训练

Orillusion | 第一个WebGPU中文社区

Orillusion

WebGL 渲染 元宇宙 Metaverse webgpu

有没有好用的低代码平台,支持本地私有化部署的?

优秀

低代码 私有化部署

泉州有几家正规等保测评公司?在哪里?叫什么名字?

行云管家

网络安全 等保 等级保护 等保测评

大数据埋点如何实现、验证和管理

融云 RongCloud

【网络安全】针对 HTTP/2 协议的HTTP Desync攻击

H

网络安全 信息安全 漏洞

华为与湖北三所高校共建首批鲲鹏&昇腾产教融合育人基地

科技热闻

研究了一圈React学习资料,发现最好用的React教程还是这个

sai

融云荣获“2021 数字化服务创新成长企业”奖

融云 RongCloud

风云再起之国产数据库风云榜-2021年12月

墨天轮

数据库 opengauss TiDB 国产数据库

2021年终总结

hasWhere

模型黑盒|机器学习模型的“可解释性”研究

索信达控股

神经网络 机器学习 神经网络模型

深入Java线程池:从设计思想到源码解读

Ayue、

线程池

Token机制相对于Cookie机制的优势

郑州埃文科技

数据库 IP Token API

艾瑞发布《2021 年全球互联网通信云行业研究报告》,融云持续领跑市场

融云 RongCloud

项目开发架手架规划

hasWhere

AI风起荆楚,人工智能中国体系即刻启航

脑极体

Azure发布基于角色的访问控制通用版本_架构_Kent Weare_InfoQ精选文章