问题标签 [azure-rbac]

如果我从 Azure 门户创建全新的 AKS RBAC 群集，在我具有贡献者角色的资源组中，然后在az aks get-credentials 没有 admin flag的情况下运行，我可以创建和删除 pod 和命名空间，读取群集范围的机密，以及依此类推，使用 kubectl。这无需先登录--admin并创建任何 RBAC 角色和绑定。

是什么赋予了我这些权限？根据我在网上找到的讨论，非管理员版本的下载集群用户角色的 kubeconfig 设置，它应该允许我登录，但没有太多，开箱即用。 get-credentials

我们正在使用多个数据源实施 Sentinel，执行 RBAC 的最佳方法是什么？

所以我用凤凰框架做了一个API。但是我必须为我的 API 调用示例在 Microsft Azure 上进行基于角色的访问控制：读取访问、更新访问或创建访问。如果有人知道如何继续，我找不到任何博客或资源？那将非常有帮助。

另外，我不想在应用程序中为用户创建一个新的上下文，并为用户和访问角色创建一个数据库。我想尝试 Azure RBAC。

PS：尝试了 Microsoft Azure 文档，但它们不是很有帮助。

提前致谢。

我想拒绝访问我的日志分析工作区中的特定表，但是在微软网站上它说：

“注意事项 如果用户被授予具有包含 */read 操作的标准 Reader 或 Contributor 角色的全局读取权限，它将覆盖每个表的访问控制并授予他们对所有日志数据的访问权限。”

https://docs.microsoft.com/en-us/azure/azure-monitor/platform/manage-access

究竟什么是全局读取权限？这是在订阅级别应用的读者权限吗？如果在资源组级别申请读权限，会不会影响表级别的RBAC？

我尝试在全新订阅中创建 AKS 群集。通过 Web 界面创建集群时，最终会产生CreateRoleAssignmentError错误并显示以下消息：

RoleAssignmentReconciler 重试超时：autorest/azure：服务返回错误。Status=403 Code="AuthorizationFailed" Message="对象 id 为 'foo' 的客户端 'foo' 无权在范围 '/subscriptions/bar/resourceGroups/MC_MyResourceGroup_mycluster_region/ 上执行操作 'Microsoft.Authorization/roleAssignments/write'提供者/Microsoft.Authorization/roleAssignments/az

请注意，根据文档，集群是使用手动创建的服务主体创建的。此服务主体在订阅中的所有资源组上都具有“所有者”角色。

另请注意，我必须手动创建服务主体的原因是首先无法创建集群。当试图在没有明确指定服务主体的情况下创建集群（即请求自动创建新的服务主体）时，会产生另一个错误：

ServicePrincipalProfile 中的凭据无效。请参阅 https://aka.ms/aks-sp-help更多细节。（详细信息：adal：刷新请求失败。状态码 = '400'。响应正文：{"error":"unauthorized_client","error_description":"AADSTS700016：在目录 'bar' 中找不到标识符为 'foo' 的应用程序。如果租户管理员未安装应用程序或租户中的任何用户未同意此应用程序，则可能发生这种情况。你可能已将身份验证请求发送给错误的租户。\r\n跟踪 ID: 9ec6ed81-892d-4592 -b7b5-61842f5c1200\r\n相关 ID：bffbb112-7348-4403-a36f-3010bf34e594\r\n时间戳：2019-07-13 15:48:02Z","error_codes":[700016],"timestamp":"2019 -07-13 15:48:02Z","trace_id":"9ec6ed81-892d-4592-b7b5-61842f5c1200","correlation_id":"})

我正在使用“初始”管理员用户对新帐户和订阅进行这些操作，所以我认为所有权限都应该到位。什么可以解释上面的错误？

我目前正在设置 Sentinel POC，在 Sentinel 中您有基本上是逻辑应用程序的剧本，它与安全中心的剧本相同。

我需要知道目标订阅需要哪些权限才能自动修复警报，例如隔离 VM、停止 VM 等。

我们的 Sentinel 将在有 100 个订阅的租户中拥有自己的订阅。

我有两个订阅。

在一个订阅上，我运行逻辑应用程序，在逻辑应用程序上我有天蓝色的功能。

另一个订阅包含通过逻辑应用和天蓝色函数实现自动化的目标资源。

为了运行与其关联的逻辑应用和 Azure 功能，我需要对目标订阅具有哪些权限？我希望能够执行诸如停止 VM、更改 NSG 设置、运行恶意软件扫描等操作

我是否需要使用对两个订阅都拥有所有者权限的帐户来运行逻辑应用？

问候，凯利

我正在尝试在 IAM 操作和其他操作之间划分 Azure Owner RBAC 角色，如果可以，请提供帮助。

我试图列出所有 Azure RBAC 角色的所有操作，并试图区分 IAM 和其他操作，但这不是我知道的好习惯，即使我试图列出所有者角色的操作，即“*” . 我也尝试了 100 个网站的解决方案，但对我有用

我确实将用户分配为 Subs 的所有者。我还为一组用户强制执行 MFA，而不是全部来自 AAD。

我正在尝试找到一个解决方案（策略？），我可以在其中阻止订阅所有者将用户添加到未应用 MFA 解决方案的订阅。只有具有 MFA 的用户才能进行分配。

您知道如何实现这一目标吗？

我正在考虑使用“Microsoft.Security/complianceResults”和“EnableMFAForWritePermissions”和“Microsoft.Security/complianceResults/resourceStatus”的策略，这样我可以防止添加会影响资源合规性但多个测试没有的用户工作呢。

谢谢

我是全局管理员，当我运行 Get-AzManagementGroup 命令时出现以下错误：

Get-AzManagementGroup：对象 ID 为“bd24ab44-e034-439e-8a02-756d1e3557a3”的客户端“live.com#kellygarcia9@yahoo.co.uk”无权执行“Microsoft.Management/managementGroups/read”操作范围“/providers/Microsoft.Management”或范围无效。如果最近授予访问权限，请刷新您的凭据。在 line:1 char:1 + Get-AzManagementGroup + ~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [Get-AzManagementGroup], CloudException + FullyQualifiedErrorId ：Microsoft.Azure.Commands.Resources.ManagementGroups.GetAzureRmManagementGroup