Azure 中订阅角色、Azure 角色和 Azure AD 角色的区别

最新推荐文章于 2025-09-26 22:47:44 发布
原创 最新推荐文章于 2025-09-26 22:47:44 发布 · 1.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

近期在忙着 AZ 104 的认证,发现里面有些概念不是太清楚,有点模糊,下面摘抄官网的一些内容,帮大家梳理清楚这些角色之间的关系与不同。

如果你不熟悉 Azure,可能会发现,要理解 Azure 中的所有不同角色存在一定的难度。 本文将帮助解释以下角色,以及应在何时使用其中的每种角色:

  • 经典订阅管理员角色
    • Account Administrator
    • Service Administrator
    • Co-Administrator
  • Azure 角色
    • Owner
    • Contributor
    • Reader
    • User Access Administrator
  • Azure Active Directory (Azure AD) 角色
    • Global Administrator
    • User Administrator
    • Billing Administrator

角色之间的相互关系

若要更好地理解 Azure 中的角色,最好是先了解一些历史信息。 Azure 最初发布时,对资源的访问权限只是通过以下三种管理员角色进行管理:帐户管理员、服务管理员和共同管理员。 稍后,添加了 Azure 基于角色的访问控制 (Azure RBAC)。 Azure RBAC 是一个较新的授权系统,它针对 Azure 资源提供精细的访问管理。 Azure RBAC 包括许多内置角色,可在不同的范围进行分配,并允许你创建自己的自定义角色。 若要管理 Azure AD 中的资源(例如用户、组和域),可以使用多种 Azure AD 角色。

下图从较高的层面显示了经典订阅管理员角色、Azure 角色与 Azure AD 角色之间的相互关系。

image-20200817145529395

经典订阅管理员角色

帐户管理员、服务管理员和共同管理员是 Azure 中的三种经典订阅管理员角色。 经典订阅管理员对 Azure 订阅拥有完全访问权限。 他们可以使用 Azure 门户、Azure 资源管理器 API 和经典部署模型 API 来管理资源。 用于注册 Azure 的帐户会自动同时设置为帐户管理员和服务管理员。 然后,可以添加其他共同管理员。 服务管理员和共同管理员拥有在订阅范围内分配有“所有者”角色(一个 Azure 角色)的用户的等效访问权限。 下表描述了这三种经典订阅管理角色之间的差别。

经典订阅管理员 限制 权限 说明
帐户管理员 每个 Azure 帐户有 1 个 1. 访问 Azure 帐户中心<br>2. 管理帐户中的所有订阅<br>3. 创建新订阅<br/>4. 取消订阅<br/>5. 更改订阅的计费<br/>6. 更改服务管理员 在概念上是订阅的计费所有者。&l
最低0.47元/天 解锁文章
wzlinux
关注
Azure基础:什么是Azure 订阅管理组(16)
WenZhongxiang
03-10 2845
什么是Azure 订阅 要使用 Azure,需要 Azure 订阅订阅提供针对 Azure 产品服务的经过身份验证授权的访问订阅支持预配资源。 Azure 订阅是链接到 Azure 帐户的 Azure 服务的逻辑单元,该帐户是 Azure Active Directory (Azure AD) 中的标识或 Azure AD 信任的目录中的标识。 一个帐户可以有一个订阅,也可以有多个具有不同计费模式的订阅,你可以对这些订阅应用不同的访问管理策略。 可以使用 Azure 订阅来定义 Azur
Azure AD认证Azure AD B2C的token获取
右先生、的博客
11-16 2489
B2C认证拿到的code只能换取idToken, 就算拿到了access_token也是属于web_token,不能用于调用graph api。个人理解比较浅显,我认为Azure ADAzure AD B2C都可作为用户管理的系统,他们提供了自己的登录认证画面,统一使用Graph API对自己的用户其他功能做管理。B2C不能使用认证code获取access_token,所以采用了Azure AD免登录的方式获取了access_token。这里主要贴一下,当时使用的认证相关获取token的代码。
Azure RBAC(Roles Based Access Control)正式上线了
Denny Duan's Technical World / 技术成就梦想改变生活。
12-25 2043
期盼已久的Azure RBAC(Roles Based Access Control)正式上线了。在很多情况下,客户需要对各种类型的用户加以区分,以便做出适当的授权决定。基于角色访问控制 (RBAC) 的思路是为用户可以担任的角色分配权限,从而恰当定义界限来限定某类用户可以执行不可执行的操作。假设想开发一个仅供销售团队使用的应用程序。要访问该应用程序,用户不仅必须是公司目录中的成员,而且要被分
Azure RBAC (Role-Based Access Control) 基于角色访问控制
Null的博客
02-21 370
使用 Azure AD 实现认证与权限管理:原理解析与操作指南
最新发布
nielilijy的专栏
09-26 985
本文介绍了如何利用Azure Active Directory (Azure AD)实现企业级身份认证与权限管理。Azure AD作为微软云身份服务,支持单点登录、多因素认证,并能与OAuth2.0、OpenID Connect等协议集成。文章详细解析了认证流程权限管理机制,包括应用角色、组权限条件访问策略。通过ASP.NET Core Web应用实例演示了Azure AD集成步骤,涵盖应用注册、角色配置权限控制实现。此外,还介绍了如何使用Microsoft Graph API获取用户信息,并提供了调
Azure基于角色的用户接入控制(RBAC)
weixin_30243533的博客
09-15 401
RBAC是Role Based Access Control是基于角色的接入控制的简称。在Azure推出ARM以后,对Azure各种资源的管理粒度已经非常细致,使得RBAC成为可能。 通过RBAC可以非常方便的给不同的用户分配不同的资源的不同权限。 本文将以一个最通用的例子来介绍如何给一个用户分配相关的权限。 一 需求 用户vmops只能对资源组1的虚拟机资源组2的特定虚拟机进行...
AzureAzure 中的基于角色访问控制 (RBAC) 与基于属性的访问控制 (ABAC)
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
02-16 8955
在任何公司中,网络用户必须先经过身份验证授权,然后才能访问可能导致安全漏洞的系统部分。获得授权的过程称为访问控制。在本文中,我将讨论管理系统访问控制的两种主要方法——基于角色访问控制 (RBAC)基于属性的访问控制 (ABAC) ,它们的区别,以及使用访问权限管理工具的重要性。以便其帮助团队更轻松地监控整个组织的访问控制。
Azure】通过RBAC对资源进行管理
diaoweiyu1759的博客
01-12 324
下图为Azure 基于用户角色控制的架构图,可以清楚的看出,通过三个层面进行控制;安全主体:安全主体是一个对象,表示请求访问 Azure 资源的用户、组或服务主体。角色定义:角色定义是权限的集合。 它有时简称为“角色”。 角色定义列出可以执行的操作,例如读取、写入删除。Azure自带了几个角色,如果觉得不能满足企业需求,也可以创建自定义角色。范围:范围是访问权限适用的边界。 分配角色时...
Azure ADAzure订阅Azure中国的架构限制与最佳实践1
08-08
订阅中的资源管理访问控制是基于Azure AD中的用户角色。在Azure中国的特殊情况下,全局管理员用户角色仅限于工作或学校账户,而不支持Microsoft账户。此外,Azure AD B2B协作功能也尚未在中国区提供,这意味着...
terraform-provider-azureadAzure Active Directory的Terraform提供程序
02-02
provider "azuread" { version = "~> 1.0.0" # NOTE: Environment Variables can also be used for Service Principal authentication # Terraform also supports authenticating via the Azure CLI too. # see ...
aadRoleSync:通过本地AD组管理Azure AD角色
aadRoleSync 是一个专为简化 Azure Active Directory(Azure AD角色管理而设计的技术解决方案,其核心理念是通过本地 Active Directory(AD)中的组成员关系来自动同步并管理云环境中 Azure AD角色分配。...
Azure自定义角色实现RBAC
weixin_30539835的博客
03-16 215
简要说明: 当前Azure Portal上只能针对订阅或具体某一资源,实现访问控制,也就是对某一具体资源实现访问/使用/删除,但无法实现创建。例如:当前的需求为,新添加用户只具有对CDN服务的管理使用(包括创建/访问/使用/删除),无法对除CDN外的资源进行管理使用。使用当前Portal的设置,已经无法实现该需求,需要使用自定义角色实现该需求,详细操作过程见下 准备条件:...
azure-tagowner:使用创建资源的用户自动标记Azure资源
02-01
该项目未维护 使用创建资源的用户自动标记Azure资源组。 有关此问题的更多背景以及替代解决方案,请参见此处: : 。 常问问题 为什么要标记资源组而不是单个资源? Azure没有用于标记资源的统一API:Azure中的所有操作都被隔离到“资源提供者”中,每个操作都是具有自己的架构,接口版本控制的微服务风格API。 标记是资源提供者特定的操作(恰好存在并且在所有资源提供者之间具有相同的签名)。 这意味着,要标记资源,您必须知道要标记的资源种类,并使用该资源提供者期望的特定版本。 这使得标记资源变得困难且麻烦。 如果我真的需要资源级标记怎么办? 可以实现资源级别标记-您将必须确定资源类型,调用提供程序API,获取受支持版本的列表以及使用最新版本来调用通用资源api。 如果您确实需要,请提出一个问题,我会考虑实施(或自行解决并发送PR)。 创建与修改 此POC中的业务逻辑实现了“创建者”语义。 这就是为什么我们只关注资源组创建活动的原因。 如果您需要'Modified by'语义,则可以更改代码以查看更多类型的事件,并使用最近的用户更新标签。 如果这样做,请注意不要陷入无限循环,在该
Azure ARM RBAC基于角色访问控制
Denny Duan's Technical World / 技术成就梦想改变生活。
01-23 694
Azure的管理结构图 上图红色部分是Azure对于用户UI的直接呈现,Azure有4大管理门户,大家最熟悉的为Azure Management Portal Azure Management Portal: https://manage.windowsazure.cn Azure Resource Manage Portal: https://portal.azure.cn Enterpr
ZA303学习笔记十一管理Azure治理方案(管理组,RBAC,访问评审,policy,Blueprint)
weixin_43258559的博客
01-21 1043
部署管理Azure治理方案创建管理包含管理组,订阅资源组的继承结构Azure管理组Azure基于角色访问控制(Azure RBAC)角色的定义作用域创建一个自定义RBAC角色解读实际权限Azure AD访问评审创建访问评审收到邮件审批部署配置一个Azure Policy策略Azure Policy策略部署配置一个Azure Blueprint蓝图Azure Blueprint蓝图 创建管理包含管理组,订阅资源组的继承结构 Azure管理组 如果你的组织有多个订阅,则可能需要一种方法来高效地
细化Azure RBAC权限
weixin_30587025的博客
01-10 236
Azure RBAC权限的细化一直是比较繁琐的事情,以下示例抛砖引玉,供大家参考 客户需求: 新用户在指定资源组下权限需求如下: 一、禁止以下权限 1、 调整虚拟机大小配置 2、 删除&停止虚拟机 3、 扩容磁盘&添加磁盘 4、 重置密码 二、容许以下权限 1、 对应资源组下所有查看类权限 2、 启动诊断权限(查看屏幕快照) 3、 监视类...
Azure手把手系列5:Azure帐户订阅
weixin_33919941的博客
02-26 1349
对于Azure来说,帐户订阅是非常重要的。很多朋友都不明白Azure的帐户订阅的关系,今天我们就通过简单通俗易懂的方式来介绍一下Azure的帐户订阅。    要使用Azure服务,必须拥有一个Azure 的帐户,还必须拥有Azure订阅。这里我们以身份证手机SIM卡来介绍Azure的帐户订阅。    简单的说,Azure帐户就是身份证,SIM卡就是订阅。在拥有身份证的前提下我们就可以去...
访问控制权限——RBAC技术文档
qq_45674716的博客
03-22 2417
权限管理功能是信息管理系统不可或缺的重要组成部分,是保证信息系统安全性的前提基础。权限管理可以对用户的登录进行验证,对系统的资源访问进行鉴权,防止用户对系统越权使用,保障数据在采集、存储传输过程中的安全性。RBAC基于角色的权限访问控制(Role-Based Access Control) 是商业系统中最常见的权限管理技术之一。RBAC是一种思想,任何编程语言都可以实现,其成熟简单的控制思想越来越受广大开发人员喜欢。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。
RBAC基于角色的权限访问控制
weixin_44798288的博客
04-04 1546
数据权限是指用户是否能够看到某些数据。说的通俗点就是设置用户只能查看哪些数据,这就是数据权限,主要应用在数据有保密要求或数据量大或数据非常敏感的,需按用户或角色来进行区分时,例如:财务主管在后台可以看到公司所有人的工资流水,但普通员工只能看到自己的工资流水。在这里可能有的同学或许认为:既然我们的权限是跟角色关联,为什么“查看工资流水”这个权限精确到每个用户了呢?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值