Azure AD 中的参与者角色和存储帐户参与者角色有什么区别?
What is the difference between a Contributor role and Storage Account Contributor role in Azure AD?
在 Azure 中,我拥有管理员角色。在 Active Directory 中,我添加了一个新用户。我需要授予用户访问我们的存储帐户作为贡献者角色的权限。我对贡献者和存储帐户贡献者角色感到困惑。如果我仅为贡献者角色而不是存储帐户贡献者角色向我的存储帐户授予权限会怎样?如果我允许其中一个或两个角色,会发生什么情况?有人能给我解释清楚吗?
区别在于权限范围。
一般贡献者角色:
Grants full access to manage all resources
存储帐户贡献者:
Permits management of storage accounts. Provides access to the account key, which can be used to access data via Shared Key authorization.
(docs)
因此,如果您想限制用户只能管理特定的资源类型,请为他们分配那些特定的服务贡献者角色。
两者都可以访问存储帐户中的数据,因为他们可以访问帐户密钥。
Storage Account Contributor 角色使用户能够管理几乎 存储帐户的所有方面(例如更新存储帐户、读取访问密钥、重新生成访问密钥,甚至删除存储帐户等)。
Contributor 角色的范围要大得多,它使用户能够管理 Azure 订阅中任何资源的几乎所有方面。
现在回答您的问题:
What if I granted permission to my storage account only for the
contributor role rather than the storage account contributor roles?
考虑到您仅将角色限定为存储帐户,我相信它是一样的。
And what will happen if I give permission for either one or both
roles?
如果您将两个角色(贡献者和存储帐户贡献者)分配给资源,通常较高的角色(在本例中为贡献者)优先。但是在这种情况下,由于您仅将角色的范围限定为存储帐户,我相信它会是一样的。
在 Azure 中,我拥有管理员角色。在 Active Directory 中,我添加了一个新用户。我需要授予用户访问我们的存储帐户作为贡献者角色的权限。我对贡献者和存储帐户贡献者角色感到困惑。如果我仅为贡献者角色而不是存储帐户贡献者角色向我的存储帐户授予权限会怎样?如果我允许其中一个或两个角色,会发生什么情况?有人能给我解释清楚吗?
区别在于权限范围。
一般贡献者角色:
Grants full access to manage all resources
存储帐户贡献者:
Permits management of storage accounts. Provides access to the account key, which can be used to access data via Shared Key authorization.
(docs)
因此,如果您想限制用户只能管理特定的资源类型,请为他们分配那些特定的服务贡献者角色。
两者都可以访问存储帐户中的数据,因为他们可以访问帐户密钥。
Storage Account Contributor 角色使用户能够管理几乎 存储帐户的所有方面(例如更新存储帐户、读取访问密钥、重新生成访问密钥,甚至删除存储帐户等)。
Contributor 角色的范围要大得多,它使用户能够管理 Azure 订阅中任何资源的几乎所有方面。
现在回答您的问题:
What if I granted permission to my storage account only for the contributor role rather than the storage account contributor roles?
考虑到您仅将角色限定为存储帐户,我相信它是一样的。
And what will happen if I give permission for either one or both roles?
如果您将两个角色(贡献者和存储帐户贡献者)分配给资源,通常较高的角色(在本例中为贡献者)优先。但是在这种情况下,由于您仅将角色的范围限定为存储帐户,我相信它会是一样的。