Azure ARM (16) 基于角色的访问控制 (Role Based Access Control, RBAC) - 使用默认的Role

　　(2)参与者(Contributor)

　　如果我把readonly这个账户设置为参与者，则readonly账户可以对LeiDemo-RG进行任何操作，但是不包括权限(Authorization)的删除和写入。

　　(3)读者(Reader)

　　如果我把readonly这个账户设置为读者，则readonly账户只能对LeiDemo-RG，进行只读操作，但是无法读取访问秘钥。

　　有兴趣的读者可以参考微软文档：

　　https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-built-in-roles

　　(1)所有者Owner

　　允许的操作是*，表示可以执行任何操作

　　(2)参与者Contributor

　　允许的操作是Actions的操作，减去NotActions的操作。这个概念非常非常重要。

　　允许的操作是Actions的操作，减去NotActions的操作。这个概念非常非常重要。

　　允许的操作是Actions的操作，减去NotActions的操作。这个概念非常非常重要。

 　　所以上图的操作是允许进行任何操作，但是不包括权限(Authorization)的删除和写入。

　　(3)读者(Reader)

　　允许的的操作是进行只读操作，但是无法读取访问秘钥。

　　8.我们首先把readonly账户，设置为参与者(Contributor)。

　　9.保证admin登录的浏览器(比如Chrome)不关闭。换另外一个浏览器(比如IE)。在IE中，以readonly账户登录。

　　10.我们以readonly账户登录的IE浏览器里，选择资源组LeiDemo-RG，设置访问控制。

　　下图中，我们可以看到，因为readonly账户设置为参与者(Contributor)，所以允许进行任何操作，但是不包括权限(Authorization)的删除和写入。

　　11.我们回到Chrome浏览器，以admin身份，把readonly设置为读者(Reader)。图略

　　12.然后回到IE浏览器，按F5页面刷新。这时候readonly的权限是读者(Reader)。　　

　　我们在IE浏览器里，以readonly身份，选择资源leidemostorage，然后点击删除。

　　请记住：我们在步骤11中，设置的readonly权限为读者(Reader)。所有readonly权限为: 进行只读操作，但是无法读取访问秘钥。

　　13.我们尝试以readonly身份，删除这个存储账户：leidemostorage。会显示删除失败：

　　这个是可以理解的，因为读者(Reader)的身份，只能进行只读操作，但是无法读取访问秘钥。

　　总结：

　　1.掌握如何在Azure AD中，创建新的Account

　　2.了解RBAC中默认的三个角色：所有者(Owner)，参与者(Contributor)，读者(Reader)

Azure ARM (16) 基于角色的访问控制 (Role Based Access Control, RBAC) - 使用默认的Role

标签：ons   arm   ie浏览器   log   重要   http   增加   resource   admin