Azure 中订阅角色、Azure 角色和 Azure AD 角色的区别

最新推荐文章于 2025-09-26 22:47:44 发布
原创 最新推荐文章于 2025-09-26 22:47:44 发布 · 1.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

近期在忙着 AZ 104 的认证,发现里面有些概念不是太清楚,有点模糊,下面摘抄官网的一些内容,帮大家梳理清楚这些角色之间的关系与不同。

如果你不熟悉 Azure,可能会发现,要理解 Azure 中的所有不同角色存在一定的难度。 本文将帮助解释以下角色,以及应在何时使用其中的每种角色:

  • 经典订阅管理员角色
    • Account Administrator
    • Service Administrator
    • Co-Administrator
  • Azure 角色
    • Owner
    • Contributor
    • Reader
    • User Access Administrator
  • Azure Active Directory (Azure AD) 角色
    • Global Administrator
    • User Administrator
    • Billing Administrator

角色之间的相互关系

若要更好地理解 Azure 中的角色,最好是先了解一些历史信息。 Azure 最初发布时,对资源的访问权限只是通过以下三种管理员角色进行管理:帐户管理员、服务管理员和共同管理员。 稍后,添加了 Azure 基于角色的访问控制 (Azure RBAC)。 Azure RBAC 是一个较新的授权系统,它针对 Azure 资源提供精细的访问管理。 Azure RBAC 包括许多内置角色,可在不同的范围进行分配,并允许你创建自己的自定义角色。 若要管理 Azure AD 中的资源(例如用户、组和域),可以使用多种 Azure AD 角色。

下图从较高的层面显示了经典订阅管理员角色、Azure 角色与 Azure AD 角色之间的相互关系。

image-20200817145529395

经典订阅管理员角色

帐户管理员、服务管理员和共同管理员是 Azure 中的三种经典订阅管理员角色。 经典订阅管理员对 Azure 订阅拥有完全访问权限。 他们可以使用 Azure 门户、Azure 资源管理器 API 和经典部署模型 API 来管理资源。 用于注册 Azure 的帐户会自动同时设置为帐户管理员和服务管理员。 然后,可以添加其他共同管理员。 服务管理员和共同管理员拥有在订阅范围内分配有“所有者”角色(一个 Azure 角色)的用户的等效访问权限。 下表描述了这三种经典订阅管理角色之间的差别。

经典订阅管理员 限制 权限 说明
帐户管理员 每个 Azure 帐户有 1 个 1. 访问 Azure 帐户中心<br>2. 管理帐户中的所有订阅<br>3. 创建新订阅<br/>4. 取消订阅<br/>5. 更改订阅的计费<br/>6. 更改服务管理员 在概念上是订阅的计费所有者。&l
最低0.47元/天 解锁文章
wzlinux
关注
Azure AD认证Azure AD B2C的token获取
右先生、的博客
11-16 2489
B2C认证拿到的code只能换取idToken, 就算拿到了access_token也是属于web_token,不能用于调用graph api。个人理解比较浅显,我认为Azure ADAzure AD B2C都可作为用户管理的系统,他们提供了自己的登录认证画面,统一使用Graph API对自己的用户其他功能做管理。B2C不能使用认证code获取access_token,所以采用了Azure AD免登录的方式获取了access_token。这里主要贴一下,当时使用的认证相关获取token的代码。
构建安全小程序:RBAC思想下的权限控制方案
luhanglh的博客
10-10 1554
RBAC(Role-Based Access Control,基于角色访问控制)是一种广泛应用于计算机系统网络安全的访问控制机制。它的核心思想是通过定义角色,将权限与角色关联,再将角色赋予用户,从而简化权限管理。简单一点来说就是把权限绑定到角色上,在把角色分配给用户,来实现对系统资源的访问控制。一个用户可以拥有多个角色,一个角色又可以拥有若干权限,这样就构成了用户-角色-权限的授权模型系统中的实体,通常是人或进程,需要访问系统资源。(指的是系统的实际使用者。一组权限的集合。
Azure RBAC(Roles Based Access Control)正式上线了
Denny Duan's Technical World / 技术成就梦想改变生活。
12-25 2043
期盼已久的Azure RBAC(Roles Based Access Control)正式上线了。在很多情况下,客户需要对各种类型的用户加以区分,以便做出适当的授权决定。基于角色访问控制 (RBAC) 的思路是为用户可以担任的角色分配权限,从而恰当定义界限来限定某类用户可以执行不可执行的操作。假设想开发一个仅供销售团队使用的应用程序。要访问该应用程序,用户不仅必须是公司目录中的成员,而且要被分
Azure RBAC (Role-Based Access Control) 基于角色访问控制
Null的博客
02-21 370
使用 Azure AD 实现认证与权限管理:原理解析与操作指南
最新发布
nielilijy的专栏
09-26 985
本文介绍了如何利用Azure Active Directory (Azure AD)实现企业级身份认证与权限管理。Azure AD作为微软云身份服务,支持单点登录、多因素认证,并能与OAuth2.0、OpenID Connect等协议集成。文章详细解析了认证流程权限管理机制,包括应用角色、组权限条件访问策略。通过ASP.NET Core Web应用实例演示了Azure AD集成步骤,涵盖应用注册、角色配置权限控制实现。此外,还介绍了如何使用Microsoft Graph API获取用户信息,并提供了调
Azure基于角色的用户接入控制(RBAC)
weixin_30243533的博客
09-15 401
RBAC是Role Based Access Control是基于角色的接入控制的简称。在Azure推出ARM以后,对Azure各种资源的管理粒度已经非常细致,使得RBAC成为可能。 通过RBAC可以非常方便的给不同的用户分配不同的资源的不同权限。 本文将以一个最通用的例子来介绍如何给一个用户分配相关的权限。 一 需求 用户vmops只能对资源组1的虚拟机资源组2的特定虚拟机进行...
AzureAzure 中的基于角色访问控制 (RBAC) 与基于属性的访问控制 (ABAC)
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
02-16 8955
在任何公司中,网络用户必须先经过身份验证授权,然后才能访问可能导致安全漏洞的系统部分。获得授权的过程称为访问控制。在本文中,我将讨论管理系统访问控制的两种主要方法——基于角色访问控制 (RBAC)基于属性的访问控制 (ABAC) ,它们的区别,以及使用访问权限管理工具的重要性。以便其帮助团队更轻松地监控整个组织的访问控制。
Azure】通过RBAC对资源进行管理
diaoweiyu1759的博客
01-12 324
下图为Azure 基于用户角色控制的架构图,可以清楚的看出,通过三个层面进行控制;安全主体:安全主体是一个对象,表示请求访问 Azure 资源的用户、组或服务主体。角色定义:角色定义是权限的集合。 它有时简称为“角色”。 角色定义列出可以执行的操作,例如读取、写入删除。Azure自带了几个角色,如果觉得不能满足企业需求,也可以创建自定义角色。范围:范围是访问权限适用的边界。 分配角色时...
Azure自定义角色实现RBAC
weixin_30539835的博客
03-16 215
简要说明: 当前Azure Portal上只能针对订阅或具体某一资源,实现访问控制,也就是对某一具体资源实现访问/使用/删除,但无法实现创建。例如:当前的需求为,新添加用户只具有对CDN服务的管理使用(包括创建/访问/使用/删除),无法对除CDN外的资源进行管理使用。使用当前Portal的设置,已经无法实现该需求,需要使用自定义角色实现该需求,详细操作过程见下 准备条件:...
Azure ARM RBAC基于角色访问控制
Denny Duan's Technical World / 技术成就梦想改变生活。
01-23 693
Azure的管理结构图 上图红色部分是Azure对于用户UI的直接呈现,Azure有4大管理门户,大家最熟悉的为Azure Management Portal Azure Management Portal: https://manage.windowsazure.cn Azure Resource Manage Portal: https://portal.azure.cn Enterpr
ZA303学习笔记十一管理Azure治理方案(管理组,RBAC,访问评审,policy,Blueprint)
weixin_43258559的博客
01-21 1043
部署管理Azure治理方案创建管理包含管理组,订阅资源组的继承结构Azure管理组Azure基于角色访问控制(Azure RBAC)角色的定义作用域创建一个自定义RBAC角色解读实际权限Azure AD访问评审创建访问评审收到邮件审批部署配置一个Azure Policy策略Azure Policy策略部署配置一个Azure Blueprint蓝图Azure Blueprint蓝图 创建管理包含管理组,订阅资源组的继承结构 Azure管理组 如果你的组织有多个订阅,则可能需要一种方法来高效地
细化Azure RBAC权限
weixin_30587025的博客
01-10 236
Azure RBAC权限的细化一直是比较繁琐的事情,以下示例抛砖引玉,供大家参考 客户需求: 新用户在指定资源组下权限需求如下: 一、禁止以下权限 1、 调整虚拟机大小配置 2、 删除&停止虚拟机 3、 扩容磁盘&添加磁盘 4、 重置密码 二、容许以下权限 1、 对应资源组下所有查看类权限 2、 启动诊断权限(查看屏幕快照) 3、 监视类...
azure-tagowner:使用创建资源的用户自动标记Azure资源
02-01
该项目未维护 使用创建资源的用户自动标记Azure资源组。 有关此问题的更多背景以及替代解决方案,请参见此处: : 。 常问问题 为什么要标记资源组而不是单个资源? Azure没有用于标记资源的统一API:Azure中的所有操作都被隔离到“资源提供者”中,每个操作都是具有自己的架构,接口版本控制的微服务风格API。 标记是资源提供者特定的操作(恰好存在并且在所有资源提供者之间具有相同的签名)。 这意味着,要标记资源,您必须知道要标记的资源种类,并使用该资源提供者期望的特定版本。 这使得标记资源变得困难且麻烦。 如果我真的需要资源级标记怎么办? 可以实现资源级别标记-您将必须确定资源类型,调用提供程序API,获取受支持版本的列表以及使用最新版本来调用通用资源api。 如果您确实需要,请提出一个问题,我会考虑实施(或自行解决并发送PR)。 创建与修改 此POC中的业务逻辑实现了“创建者”语义。 这就是为什么我们只关注资源组创建活动的原因。 如果您需要'Modified by'语义,则可以更改代码以查看更多类型的事件,并使用最近的用户更新标签。 如果这样做,请注意不要陷入无限循环,在该
Azure手把手系列5:Azure帐户订阅
weixin_33919941的博客
02-26 1349
对于Azure来说,帐户订阅是非常重要的。很多朋友都不明白Azure的帐户订阅的关系,今天我们就通过简单通俗易懂的方式来介绍一下Azure的帐户订阅。    要使用Azure服务,必须拥有一个Azure 的帐户,还必须拥有Azure订阅。这里我们以身份证手机SIM卡来介绍Azure的帐户订阅。    简单的说,Azure帐户就是身份证,SIM卡就是订阅。在拥有身份证的前提下我们就可以去...
访问控制权限——RBAC技术文档
qq_45674716的博客
03-22 2417
权限管理功能是信息管理系统不可或缺的重要组成部分,是保证信息系统安全性的前提基础。权限管理可以对用户的登录进行验证,对系统的资源访问进行鉴权,防止用户对系统越权使用,保障数据在采集、存储传输过程中的安全性。RBAC基于角色的权限访问控制(Role-Based Access Control) 是商业系统中最常见的权限管理技术之一。RBAC是一种思想,任何编程语言都可以实现,其成熟简单的控制思想越来越受广大开发人员喜欢。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。
RBAC基于角色的权限访问控制
weixin_44798288的博客
04-04 1546
数据权限是指用户是否能够看到某些数据。说的通俗点就是设置用户只能查看哪些数据,这就是数据权限,主要应用在数据有保密要求或数据量大或数据非常敏感的,需按用户或角色来进行区分时,例如:财务主管在后台可以看到公司所有人的工资流水,但普通员工只能看到自己的工资流水。在这里可能有的同学或许认为:既然我们的权限是跟角色关联,为什么“查看工资流水”这个权限精确到每个用户了呢?
Azure DevOps管理Azure中国区域
雪峰的专栏
05-26 2420
Azure DevOps目前仍只在微软云Azure海外区域提供SaaS服务,Azure中国区域还没有发布。其实Azure DevOps可以管理各种云应用部署的环境与平台,可以通过服务连接(Service Connection) 方便地连接Azure中国区域,以及其它Azure的特殊区域,比如美国政务云、德国区域等等。本文将带领大家一步一步配置好中国区域的订阅,以及建立起Azure DevOps到中国区域订阅的连接。 配置Azure中国区域 Azure DevOps的服务连接支持多种连接方式,包括Azu
RBAC 一篇文章 带你学会
maple_szf的博客
10-31 3725
基于角色访问控制(Role-Based Access Control,简称 RBAC)是一种访问控制机制,通过为用户分配角色来管理权限。RBAC 模型使得权限的管理更加简便高效,尤其适用于复杂的系统架构。RBAC 模型在权限管理中极大地简化了权限分配的复杂性维护成本,尤其在角色权限关系复杂的系统中尤为适用。通过用户、角色、权限的分层管理,RBAC 实现了灵活、模块化的权限控制,使得系统在安全性管理便捷性上都得到了提升。
RBAC:基于角色访问控制
qq_62617573的博客
10-30 242
使用RBAC的前提或理由:我们现在的项目是只要用户登录成功后就可以访问项目中的所有功能资源,这显然是不合理的。比如公司的管理系统,普通员工ceo能操作的功能资源肯定是不能相同的,那是因为普通员工CEO的权限是不同的,而我们的项目现在是没有体现任何权限相关的效果的,用户访问项目应当根据其权限的不同,可以操作的项目资源是不同的。项目的资源可以分为两大部分:前端页面资源后台功能资源。
aadRoleSync:通过本地AD组管理Azure AD角色
aadRoleSync 是一个专为简化 Azure Active Directory(Azure AD角色管理而设计的技术解决方案,其核心理念是通过本地 Active Directory(AD)中的组成员关系来自动同步并管理云环境中 Azure AD角色分配。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值