问题标签 [azure-role-environment]

基本上我正在尝试使用 Azure 实现以下 AWS 模式：

• 将 IAM 角色分配给 Vm（等效于 Aws 实例）
• 允许此角色以只读方式访问某个容器（AWS 存储桶等效项）并从那里下载

Azure 怎么可能做到这一点？

假设我们有扩展RoleEntryPoint类和重写Run()方法。正如文件所述，

如果 Run 方法返回，则通过引发 Stopping 事件并调用 OnStop 方法自动回收角色，以便可以在角色脱机之前执行关闭序列。

我对此有一些疑问

1. 如果覆盖 Run() 方法返回，vm 实例会发生什么？（vm是被Azure回收了还是关机了）
2. webrole 是分配给专用 vm 实例还是共享 vm 实例？
3. 用于 Web 或工作角色的 vm 是以临时方式创建的，还是之前创建和使用的回收实例？（在这种情况下，我们可以期望旧的注册表项条目可用吗？）

I've been working on a solution to implement automatic key rotation for a storage account using keyvault. The script I'm using is listed below. The object ID is not a service principal (its my ObjectID).

But then I get the following error

是否有任何标准角色可以授予在 Azure 资源组中启动/停止虚拟机的权限，而不授予创建权限或修改现有资源的权限？我在文档中没有找到，唯一的解决方案是创建自定义角色？

我正在 Azure Active Directory 上创建用户，并希望他仅访问 Azure Web 应用程序中的有限内容。对于 Azure 中的参与者角色，参与者分配了以下操作，

Microsoft.Web/sites/*

这意味着它可以在 Web 应用程序中做任何事情。

有没有办法我可以看到位于“Microsoft.Web/sites/”下的各个组件（例如 Microsoft.Web/sites/start）等等？这样我就可以相应地在 Microsoft.Web/sites/ 下分配特定角色。

我是开发人员。我有

网站贡献者

我们的基础架构团队创建的 Azure 功能中的角色。我在门户的函数应用程序中看不到任何列出的函数，当我尝试在 azure 门户的侧面导航中展开函数列表时，此 ajax 请求失败：

此请求的响应正文包含以下内容：

那么，我的函数应用程序需要哪些权限才能执行诸如查看函数、启用禁用单个函数以及为函数生成 api 密钥之类的操作？

这是我得到的屏幕显示：

当我将相同的代码部署到我的个人帐户（我是其管理员）上的 azure 函数时，我看到了：

我确定我不会在我的组织订阅中获得管理员角色，那么我可以拥有的最小权限集是什么，以便我可以查看我的功能并对其执行基本配置？

我想最终得到一个服务帐户/委托人，它具有尽可能窄的最小权限。它需要将新的/更新的机密写入特定的 Azure Key Vault。因此，我想为此创建一个自定义角色并将该角色分配给服务帐户。我已经能够找到足够的文档来知道我需要一个类似的角色：

我无法找到可以帮助我确定范围的文档。如上所述，它应该尽可能窄，至少指向特定的 Key Vault，甚至是与全局通配符匹配的机密（例如 keyprefix*）。

我在订阅级别应用了删除锁定，以便所有资源都将获得锁定，同时撤销了虚拟机的访问权限，天蓝色删除锁定阻止了 IAM 角色删除，有什么办法可以解决吗？

AWS 通过在您的账户中为第三方的 AWS 账户创建一个 IAM 角色，然后为其分配一个External Id来允许可信的第三方关系。在此之后，受信任的第三方可以通过 API 承担 IAM 角色并传递外部 ID 以进行授权 API 调用，以根据设置的权限访问资源和服务。

我想通过受信任的第三方为我们的 Azure 帐户实现类似的功能。

如何向受信任的第三方提供对 Azure 帐户中资源的类似基于角色的访问权限？

在我们当前的 azure 租户中，我们有 100 个订阅，用户访问权限由 azure AAD 组管理。

我如何查看分配给组的角色，假设 1 个组只能访问 100 个订阅中的 1 个订阅，然后我需要从门户中选择组 Azure 角色分配页面中的每个订阅。

我想知道有没有直接使用powershell获取的方法？

感谢开发