所以我们有 3 个内置角色:Owner
, Contributor
和 User Access Administrator
.
考虑到贡献者
可以在 Azure 订阅中执行除 RBAC 角色分配之外的所有操作,并且用户访问管理员
可以执行 RBAC 角色分配,我们是否可以假设,如果用户在特定范围(例如订阅)中分配了贡献者
和用户访问管理员
角色,他们实际上是该范围的所有者?
或者是否有某些事情仍然只有所有者
才能做?
最佳答案
如果我们查看权限:
- 所有者可以执行任何操作:
"actions": ["*"]
。 - 用户管理员只能读取任何内容( secret 除外)、管理角色以及创建和更新支持票证:
"actions": ["*/read", "Microsoft.Authorization/*", "Microsoft.Support/*"]
- 贡献者可以执行任何操作,除了管理角色、管理蓝图分配以及向不同范围共享图库之外
"actions": [ "*" ], "notActions": [ "Microsoft.Authorization/*/Delete", "Microsoft.Authorization/*/Write", "Microsoft.Authorization/elevateAccess/Action", "Microsoft.Blueprint/blueprintAssignments/write", "Microsoft.Blueprint/blueprintAssignments/delete", "Microsoft.Compute/galleries/share/action" ],
因此,与 Owner
角色相比,具有 Contributor
和 User Access Administrator
角色的用户缺少一些权限:无法创建/删除蓝图,无法将图库共享到不同范围
关于azure - 具有 "Contributor"和 "User Access Administrator"角色的用户与具有 "Owner"角色的用户相同吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/73194026/