问题标签 [azure-rbac]

我正在尝试使用应用 ID 查询用户拥有的所有资源。我当前的实现是获取我的应用程序有权访问的所有资源，然后查询每个资源的 RBAC 以查看用户是否有权访问。使用 Azure Resource Graph 可以为我当前的用户完成的事情似乎太多了。有没有办法使用 Azure Resource Graph，但指定我要为哪个用户获取资源（假设我的应用程序对租户中的所有资源具有读取权限）？

我可以为允许他们创建资源组的用户分配什么角色？我不能使用所有者或贡献者，因为它们太强大了。重点是限制各种开发人员可以做的事情。

例如，我们的开发团队使用数据库创建 Web 应用程序并将它们部署到 Azure。这些资源被放在一个资源组中。所以开发者需要创建应用服务、应用服务计划、sql db、应用洞察和资源组。但我们不希望所有开发人员都可以访问 Azure 中的许多其他资源。这就是贡献者或所有者太强大的原因。

另外，仅供参考，我们正在努力通过管道部署 ARM 模板，但这需要一段时间。因此，与此同时，其中一些是手动完成的。

除了资源组之外，所有这一切似乎都可以通过 RBAC 实现。

谢谢，

安迪

AWS 通过在您的账户中为第三方的 AWS 账户创建一个 IAM 角色，然后为其分配一个External Id来允许可信的第三方关系。在此之后，受信任的第三方可以通过 API 承担 IAM 角色并传递外部 ID 以进行授权 API 调用，以根据设置的权限访问资源和服务。

我想通过受信任的第三方为我们的 Azure 帐户实现类似的功能。

如何向受信任的第三方提供对 Azure 帐户中资源的类似基于角色的访问权限？

在 Azure cosmos DB 上，我希望用户只能访问 DATA 平面（无 CONTROL 平面）。遵循 REST API ( https://docs.microsoft.com/en-us/rest/api/cosmos-db/create-a-user ) 我可以创建一个用户然后授予他权限。现在，我坚持控制令牌。我可以在设置权限时自动获取。但没有了。此外，为什么要在连接字符串中包含它获取许可，例如使我能够获取令牌

"_token": "type=resource&ver=1&sig=/l3kOULV1Vjk+ZnBqUmzow==;dkMrrNO/x8YperU6omZmUmNcwPCXPmpWUFtB3HFFNlqxvGCJsx0tk2IjOPVYf/jV53fAxaBq9vrB7eXG5dgGAJWCTzm1A0L1Hi5FMeo5uxrDn3be3ySifJxKe0uby6eAQ4XrQUKHwGz14y9fkBxuHt8GoZlFEWo5hZHyuSv/hOvvxeM7N4BBIbEiToGiZjt+g6Gx5qvipGMd16X//EpvWs8EXHMUBqf4x0KR4WODiBs=;"

根据文档，Azure Kubernetes 服务集群用户角色只允许访问 Microsoft.ContainerService/managedClusters/listClusterUserCredential/action API 调用。

我的用户是对 AKS 群集具有Azure Kubernetes Service Cluster User Role权限的 AD 组的一部分，并且所有群集角色和群集角色绑定都已通过kubectl.

我可以通过以下步骤仔细检查并验证对仪表板和权限的访问：

但是，当我尝试使用az aks browse命令像这样自动打开浏览器时，即没有kubectl proxy：

我不断收到以下错误：

一个dirty解决方案是在该 AD 组的 AKS 群集上应用Reader角色 - 然后这个问题就消失了，但为什么az aks browse需要Microsoft.ContainerService/managedClusters/read权限，为什么不包括在内Azure Kubernetes Service Cluster User Role？

这里发生了什么？

我正在使用 Azure 中的 Active Directory B2C 和存储帐户。我想使用用户委派 SAS 或 Azure RBAC 来授予对容器和 blob 的有限访问权限。

我将我的新租户链接到我的订阅，但我无法在此目录或任何其他 azure 资源中创建存储帐户。

我在默认文件夹中创建了存储帐户，但我无法使用用户委派 SAS 或 Azure RBAC 来管理对存储帐户的访问，因为用户位于 Active Directory B2C 租户中。

我需要一些帮助来实现这个要求谢谢你提前

我正在尝试Azure Service Bus Queue从我的Windows Service应用程序访问。我正在关注这个示例。

我想保护它Azure Service Bus使用Azure Service Principal 以下是我已实施的步骤

1. 注册一个 代表我pc-shutdown-producer的应用程序Azure AdWindows Service
2. 我创建了service bus namespace名为shutdowncomputer
3. 在里面Access control (IAM)，我添加Role Assignment了以下值
   • 角色 -Azure Service Bus Data Owner
   • 分配访问权限 -pc-shutdown-producer

据我所知，上述配置将让pc-shutdown-producer应用程序管理 servicebus 命名空间中的所有资源。4. 除此之外，我还提供pc-shutdown-producer了访问服务总线命名空间的委托 API 权限。

下面是我的 C# 代码。

执行后Init()，我收到以下异常消息。

Unauthorized access. 'Send' claim(s) are required to perform this operation. Resource: 'sb://shutdowncomputer.servicebus.windows.net/shutdownrequest'. TrackingId:52c0eedcf19d4513a8ec105943859764_G12, SystemTracker:gateway7, Timestamp:2020-05-11T06:59:01

更新 1

根据@Carl Zhao 的建议，我已经提供了管理员同意，pc-shutdown-producer但仍然遇到同样的问题。

谢谢

我试图为团队提供管理其密钥保管库中的密钥、机密和证书的最低特权访问权限，以及管理访问策略的能力。

根据这些文档，密钥、机密和证书通过访问策略在数据平面中处理，管理访问策略的能力通过 RBAC 在管理平面中处理。因此，我们通过访问策略处理了数据访问（密钥、机密和证书）。但是我们似乎无法获得权限来授予他们管理访问策略的能力。

我创建了一个具有以下权限的自定义角色：

• */读
• Microsoft.KeyVault/保管库/读取
• Microsoft.KeyVault/vaults/accessPolicies/write
• Microsoft.Authorization/policyDefinitions/delete
• Microsoft.Authorization/policyDefinitions/write
• Microsoft.Authorization/policyDefinitions/read
• Microsoft.Authorization/policyAssignments/delete
• Microsoft.Authorization/policyAssignments/write
• Microsoft.Authorization/policyAssignments/read

即使拥有这些权限，用户也无法添加访问策略。我们做错了什么？

此外，我认为只有“accessPolicies/write”权限（在 Microsoft.Keyvault 下）是列表中唯一与管理密钥保管库访问策略的能力相关的权限。那正确吗？（policyDefinition 和 policyAssignment 权限是否与此问题无关？）

谢谢！

我正在使用 Get-AzRoleAssignment 获取 Data Lake Storage Gen1 资源的 RBAC 详细信息。

命令 ：

上面的命令为我们提供了有权访问上述资源的资源列表。自从首次使用此命令以来，我们已经删除了许多资源的访问权限，但命令仍会返回这些资源的名称。我注销并多次登录以检查其缓存问题但没有用。

为了使某些流程自动化，我正在使用具有 RunAsAccount 所有者权限的Azure 自动化。

每次执行脚本时都会引发错误：

有什么想法可以解决这个问题吗？