全局只读权限和 Table 级别 RBAC

Global Read Only Permissions and Table Level RBAC

我想拒绝访问我的日志分析工作区中的特定 table,但是在 Microsoft 网站上它说:

"注意事项 如果用户被授予具有标准 Reader 或参与者角色(包括 */read 操作)的全局读取权限,它将覆盖每个 table 访问控制并授予他们访问所有日志数据的权限。 “

https://docs.microsoft.com/en-us/azure/azure-monitor/platform/manage-access

全局读取权限到底是什么?这是在订阅级别应用的 reader 权限吗?如果申请资源组级别的读权限,会影响table级别的RBAC吗?

what exactly is global read permission?

这意味着 rbac 角色具有 */read 操作,例如Owner, Contributor, Reader, Log Analytics Reader, Log Analytics Contributor. You could check the doc 了解角色权限的详细信息。

注意:不仅是built-in角色,还有你用*/read动作创建的自定义角色。

is this the reader permission applied at the subscription level?

它可以在订阅和资源组级别应用。

如果在订阅级别应用,它将影响订阅中的所有工作区。如果在资源组级别应用,它只影响特定资源组中的工作空间,不会影响其他资源组中的其他工作空间。

if you apply for the read permission at the resource group level will this affect the table level RBAC?

是的,如果角色在 A 组应用,并且您的工作区在 A 组中,它将影响 table 级别 rbac。但如果你的工作区在B组,则不会影响。

详情请参考RBAC - Scope