问题标签 [azure-rbac]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 天蓝色无法“创建以帐户身份运行”
Daniel在这里解释了如何启动和停止位于 Azure 上的 VM。
我不能这样做,因为我找不到创建 Azure 运行方式帐户 我相信我的帐户受到帐户所有者的限制。我需要问什么才能获得此许可?
我有一个贡献者角色,可以访问一个特定的订阅。
我在一家更大的公司拥有的中间公司。
我想让开发人员能够启动和停止他正在使用的 VM。
azure - 授予 READER 角色访问 Azure 中的订阅的权限在 Postman 中可以正常工作,但不能通过 Angular。为什么?
好的,我可能在 Angular 中遗漏了一些简单的东西,但我真的可以使用一些帮助。我正在尝试以编程方式将服务主体读者角色授予订阅。如果我使用 PostMan,它可以正常工作。但是,当我通过 Angular6 发送相同的 PUT 请求时,我从 Azure 收到 400 错误,上面写着:
您的请求内容无效,无法反序列化原始对象。异常消息:在 JSON 中找不到“必需属性”权限。路径“属性”,第 1 行,位置 231。
在这两种情况下发送的 JSON 是:
我已经从两个请求中捕获了流量,它们在 PUT 上显示为 application/json 有效负载。因此,我不知道通过 Azure 错误地反序列化导致此错误的原因。我正在尝试遵循此处记录的 REST 说明:https ://docs.microsoft.com/en-us/azure/role-based-access-control/role-assignments-rest
有什么我想念的想法吗?
更新
为每个请求添加 RAW REQUEST。我已经替换了任何敏感数据(访问令牌、GUID 等),而没有更改 Fiddler 输出中的任何其他内容。
azure - 从 Azure 订阅中检索所有用户信息
我想从订阅中检索所有用户信息。我们可以使用以下文章从 Azure 订阅中获取所有用户列表。
https://docs.microsoft.com/en-us/rest/api/authorization/roleassignments/list
但上面的 URl 检索所有用户 GUID 的列表(以及更多信息),但这里我想要用户显示名称、邮件 ID 等。
请帮助我我该怎么做。
我们可以将此用户 GUID 发送到图形 API 以检索用户信息,但它需要租户管理员的同意,而且我们还需要另外两个调用(一个是获取图形承载访问令牌,另一个是调用具有上述用户列表的图形 api GUID)。那么我如何在没有图形 API 的情况下做到这一点。
azure - 限制对 Azure Key Vault 的访问
我想创建一个具有相当受限访问权限的 Azure 密钥保管库(我们的一个或两个应用程序)。我已经通过 Azure 门户创建了 Key Vault,但是当我查看访问控制部分时,我发现有几个应用程序和用户具有密钥保管库的参与者角色(从订阅继承),这给了他们更多的访问权限他们应该有。
由于订阅是可以设置访问控制的最高级别,因此我无法在不撤销订阅级别的情况下撤销这些应用程序/用户的访问权限,这可能会导致各种问题。(目前还不清楚这些需要什么权限,因此必须在资源组或资源级别授予这些权限会有点痛苦)。更重要的是,没有什么能阻止后来出现的人在订阅级别添加贡献者角色(例如,对于某些新应用程序),并破坏密钥库的安全性。
因此,考虑到所有这些,限制对 azure key vault 的访问的最佳方法是什么,以便只有我想要的应用程序/用户才能访问它,尽管事实上有几个应用程序/用户已经拥有这些权限订阅级别?
更多信息:我们使用的是 Azure 资源管理器模型,所有内容当前都存储在一个订阅中。
python - 如何使用 Azure Python SDK 为存储帐户中的内置角色添加权限?
我有一个存储帐户,我想在“存储帐户密钥操作员服务角色”中授予我的应用服务之一的权限。类似于 Azure 门户中的以下操作。
azure - VM 与 VM 规模集的 RBAC 有何区别?
我有一个自定义角色,允许在特定 VNet 及其子网中创建 VM。我能够毫无问题地在此子网中部署单个 VM。但是,当我尝试将规模集部署到同一子网时,我会遇到以下错误:
授予对 VNet 访问权限的角色具有Join Virtual Network. 为什么此权限允许 VM 部署而不是规模集部署?部署 VM 和 VM 规模集之间的 RBAC 是否存在差异?
编辑:添加角色定义
VNet 具有具有自定义网络参与者角色的 RBAC,该角色授予以下内容
资源组上的 RBAC 授予以下权限
azure - Azure Policy 不拒绝创建自定义角色
我目前正在帮助调查在我的组织的公共云中采用 Azure。我被分配的任务之一是锁定帐户以防止用户在订阅中提升他们的权限。
我特别感兴趣的一件事是拒绝创建自定义角色,因为我们不希望人们去开始创建自己的角色,直到安全审查了对角色的需求。
我一直在尝试通过具有以下定义的 Azure 策略来做到这一点
实际上只是复制了内置的“审核自定义角色”策略并将效果从“审核”更改为“拒绝”
但是,我已将此策略应用于包含我正在测试的订阅的管理组,但是当我登录 CLI 并尝试创建新的自定义角色时,它会继续创建角色。
我已确保订阅中存在该策略,并且我已确认我在 CLI 中的订阅正确(使用az account show),但我仍然可以创建自定义角色。
这只是 Azure 不支持的东西,还是我还缺少其他东西?任何帮助或指导将不胜感激,因为 Microsoft 文档和在线提供的众多示例似乎没有任何关于使用策略控制角色的信息。
PS 我知道您可以通过策略在一定程度上控制角色,因为我们有另一个策略可以防止分配特定角色集的发生并且确实有效。
azure - Azure 逻辑应用 - 能否创建此自定义 RBAC 规则?
是否可以设置 Azure RBAC 自定义规则,以便角色只能重新提交早期的逻辑应用运行,但不能通过 Designer 修改工作流,否则?
azure - 是否可以在没有 RBAC 的情况下通过 AAD 授予创建 Azure 资源组的权限?
我了解您可以在订阅级别分配“贡献者”RBAC 角色,以授予用户创建资源组的权限。
但是,有没有办法通过 AAD(管理员角色分配)授予该权限?还是有什么其他方式?
我目前无法创建资源组,需要请求获得许可。我试图了解可以完成的各种方法。(特别是因为订阅中根本没有 RBAC 角色,除了“经典管理员”,但我看到一些资源组已创建并由非经典管理员拥有)