问题标签 [azure-rbac]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - Azure Sentinel RBAC - 最佳实践
我们正在使用多个数据源实施 Sentinel,执行 RBAC 的最佳方法是什么?
azure - RBAC 用于 Microsoft Azure 上的 phoenix API
所以我用凤凰框架做了一个API。但是我必须为我的 API 调用示例在 Microsft Azure 上进行基于角色的访问控制:读取访问、更新访问或创建访问。如果有人知道如何继续,我找不到任何博客或资源?那将非常有帮助。
另外,我不想在应用程序中为用户创建一个新的上下文,并为用户和访问角色创建一个数据库。我想尝试 Azure RBAC。
PS:尝试了 Microsoft Azure 文档,但它们不是很有帮助。
提前致谢。
azure - 全局只读权限和表级 RBAC
我想拒绝访问我的日志分析工作区中的特定表,但是在微软网站上它说:
“注意事项 如果用户被授予具有包含 */read 操作的标准 Reader 或 Contributor 角色的全局读取权限,它将覆盖每个表的访问控制并授予他们对所有日志数据的访问权限。”
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/manage-access
究竟什么是全局读取权限?这是在订阅级别应用的读者权限吗?如果在资源组级别申请读权限,会不会影响表级别的RBAC?
azure - 无法创建 Azure AKS 群集:CreateRoleAssignmentError
我尝试在全新订阅中创建 AKS 群集。通过 Web 界面创建集群时,最终会产生CreateRoleAssignmentError
错误并显示以下消息:
RoleAssignmentReconciler 重试超时:autorest/azure:服务返回错误。Status=403 Code="AuthorizationFailed" Message="对象 id 为 'foo' 的客户端 'foo' 无权在范围 '/subscriptions/bar/resourceGroups/MC_MyResourceGroup_mycluster_region/ 上执行操作 'Microsoft.Authorization/roleAssignments/write'提供者/Microsoft.Authorization/roleAssignments/az
请注意,根据文档,集群是使用手动创建的服务主体创建的。此服务主体在订阅中的所有资源组上都具有“所有者”角色。
另请注意,我必须手动创建服务主体的原因是首先无法创建集群。当试图在没有明确指定服务主体的情况下创建集群(即请求自动创建新的服务主体)时,会产生另一个错误:
ServicePrincipalProfile 中的凭据无效。请参阅 https://aka.ms/aks-sp-help更多细节。(详细信息:adal:刷新请求失败。状态码 = '400'。响应正文:{"error":"unauthorized_client","error_description":"AADSTS700016:在目录 'bar' 中找不到标识符为 'foo' 的应用程序。如果租户管理员未安装应用程序或租户中的任何用户未同意此应用程序,则可能发生这种情况。你可能已将身份验证请求发送给错误的租户。\r\n跟踪 ID: 9ec6ed81-892d-4592 -b7b5-61842f5c1200\r\n相关 ID:bffbb112-7348-4403-a36f-3010bf34e594\r\n时间戳:2019-07-13 15:48:02Z","error_codes":[700016],"timestamp":"2019 -07-13 15:48:02Z","trace_id":"9ec6ed81-892d-4592-b7b5-61842f5c1200","correlation_id":"})
我正在使用“初始”管理员用户对新帐户和订阅进行这些操作,所以我认为所有权限都应该到位。什么可以解释上面的错误?
azure - 安全中心/Sentinel Playbook 的自动化 RBAC 要求
我目前正在设置 Sentinel POC,在 Sentinel 中您有基本上是逻辑应用程序的剧本,它与安全中心的剧本相同。
我需要知道目标订阅需要哪些权限才能自动修复警报,例如隔离 VM、停止 VM 等。
我们的 Sentinel 将在有 100 个订阅的租户中拥有自己的订阅。
azure - Azure 自动化特权
我有两个订阅。
在一个订阅上,我运行逻辑应用程序,在逻辑应用程序上我有天蓝色的功能。
另一个订阅包含通过逻辑应用和天蓝色函数实现自动化的目标资源。
为了运行与其关联的逻辑应用和 Azure 功能,我需要对目标订阅具有哪些权限?我希望能够执行诸如停止 VM、更改 NSG 设置、运行恶意软件扫描等操作
我是否需要使用对两个订阅都拥有所有者权限的帐户来运行逻辑应用?
问候,凯利
azure - 划分 Azure 的所有者 RBAC 角色
我正在尝试在 IAM 操作和其他操作之间划分 Azure Owner RBAC 角色,如果可以,请提供帮助。
我试图列出所有 Azure RBAC 角色的所有操作,并试图区分 IAM 和其他操作,但这不是我知道的好习惯,即使我试图列出所有者角色的操作,即“*” . 我也尝试了 100 个网站的解决方案,但对我有用
azure - Azure(策略/RBAC/MFA) - 如何阻止用户
我确实将用户分配为 Subs 的所有者。我还为一组用户强制执行 MFA,而不是全部来自 AAD。
我正在尝试找到一个解决方案(策略?),我可以在其中阻止订阅所有者将用户添加到未应用 MFA 解决方案的订阅。只有具有 MFA 的用户才能进行分配。
您知道如何实现这一目标吗?
我正在考虑使用“Microsoft.Security/complianceResults”和“EnableMFAForWritePermissions”和“Microsoft.Security/complianceResults/resourceStatus”的策略,这样我可以防止添加会影响资源合规性但多个测试没有的用户工作呢。
谢谢
azure - 运行 Get-AzManagementGroup PowerShell 命令时出错
我是全局管理员,当我运行 Get-AzManagementGroup 命令时出现以下错误:
Get-AzManagementGroup:对象 ID 为“bd24ab44-e034-439e-8a02-756d1e3557a3”的客户端“live.com#kellygarcia9@yahoo.co.uk”无权执行“Microsoft.Management/managementGroups/read”操作范围“/providers/Microsoft.Management”或范围无效。如果最近授予访问权限,请刷新您的凭据。在 line:1 char:1 + Get-AzManagementGroup + ~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [Get-AzManagementGroup], CloudException + FullyQualifiedErrorId :Microsoft.Azure.Commands.Resources.ManagementGroups.GetAzureRmManagementGroup