我想拒绝访问我的日志分析工作区中的特定表,但是在微软网站上它说:
“注意事项 如果用户被授予具有包含 */read 操作的标准 Reader 或 Contributor 角色的全局读取权限,它将覆盖每个表的访问控制并授予他们对所有日志数据的访问权限。”
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/manage-access
究竟什么是全局读取权限?这是在订阅级别应用的读者权限吗?如果在资源组级别申请读权限,会不会影响表级别的RBAC?
究竟什么是全局读取权限?
表示 rbac 角色有*/read动作,例如Owner, Contributor, Reader, Log Analytics Reader, Log Analytics Contributor。您可以查看文档以获取角色权限的详细信息。
注意:不仅是内置角色,还包括您使用*/read操作创建的自定义角色。
这是在订阅级别应用的读者权限吗?
它可以在订阅和资源组级别应用。
如果在订阅级别应用,它将影响订阅中的所有工作区。如果在资源组级别应用,只会影响特定资源组中的工作区,不会影响其他资源组中的其他工作区。
如果在资源组级别申请读权限,会不会影响表级别的RBAC?
是的,如果角色应用在 A 组,并且您的工作区在 A 组中,它将影响表级别的 rbac。但是如果你的工作空间在 B 组,它不会影响。
有关更多详细信息,您可以参考RBAC-Scope。