azure - 如何在 Azure 中创建自定义 RBAC/ABAC 角色？

Question

要求是创建具有少量角色的访问包，以便用户可以执行以下事件:

• 对给定 Blob 容器(“abc”Blob 容器)中存储的数据进行读写访问。
• 访问 Azure 数据工厂以构建管道、处理数据并将数据加载到暂存区域(Blob 容器或 SQL Server)的角色。
• 在 SQL Server 环境中访问数据/数据库的 DDL 和 DML 以及执行权限角色。

我指的是Azure RBAC和 built-in-roles但考虑到以上几点，无法得到清晰的想法。

我的问题是，那里有内置角色还是我需要创建自定义角色？并且，如何考虑基线安全性创建自定义角色(针对上述要求)？

有什么方法可以让我通过引用来编写自定义 JSON 脚本来获取其他操作吗？

My question is, Is the RBAC roles possible for SQL Server in a VM? If yes, how?

此外，如果我同时拥有 SQL Server 的 PaaS 实例和 SQL Server 的 VM 实例(即 VM 中的 SQL Server) - 如何管理两者的 RBAC 角色？

Answer 1

根据您的要求，如果有帮助，请执行以下解决方法:

Read & write access to data stored in a given blob container (‘abc'blob container).

您可以使用内置角色，例如 Storage Blob Data Contributor 它允许读取、写入和删除 Azure 存储容器和 blob 等操作。如果您想了解更多详细信息，请查看此reference .

Role to access azure data factory to build pipeline, process & loadthe data to a staging area (to Blob container or SQL server).

您可以使用内置角色，例如 Data Factory Contributor 它允许创建和管理数据工厂以及其中的子资源等操作。这些子资源包括管道、数据集、链接服务……通过此角色，您可以构建管道、处理和加载数据。如果您想了解更多详细信息，请查看此reference.

DDL & DML and execute permission role to access the data/database inSQL server environment.

您可以使用内置角色，例如 SQL Server Contributor 它允许管理 SQL Server 和数据库等操作。如果您想了解更多详细信息，请查看此reference.

如果您想为所有这些创建自定义角色，请确保您有 Owner 或 User Access Administrator 订阅中的角色。您可以通过 3 种方式创建自定义角色:

• 克隆角色 – 您可以利用 existing roles并根据需要修改权限，添加、删除。
• 从头开始 – 在此过程中，您必须手动添加所需的所有权限，方法是从其提供商处挑选权限并排除您不需要的权限。<
• 从 JSON 开始 – 在这里，您可以上传一个 JSON 文件，您可以通过在 Actions 中包含所有需要的权限来单独创建该文件。变量，而排除 notActions 中的权限多变的。如果权限与数据相关，则将其添加到 DataActions和notDataActions根据您的需要。在可分配范围中，您可以根据需要包含角色可用的范围，即订阅或资源组。

考虑到基线安全性，始终建议给出 read仅权限。但如您需要write blob 容器和构建管道的权限，您只需在 Actions 中添加这些(读/写)即可NotActions 中的部分和其余全部(删除)部分。

如果您想添加其他操作，只需将这些权限包含在 Actions 中即可。 JSON 文件中的部分，并确保向资源组授予读取权限。

供您引用的示例自定义角色 JSON 文件:

{ 

  "assignableScopes": [ 

    "/" 

  ], 

  "description": "Combining all 3 requirements", 

  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/***************************", 

  "name": "**********************", 

  "permissions": [ 

    { 

   "actions": [ 

        "Microsoft.Authorization/*/read", 

        "Microsoft.Resources/subscriptions/resourceGroups/read", 

        "Microsoft.ResourceHealth/availabilityStatuses/read", 

        "Microsoft.Resources/deployments/*", 

        "Microsoft.Storage/storageAccounts/blobServices/containers/read", 

        "Microsoft.Storage/storageAccounts/blobServices/containers/write", 

        "Microsoft.DataFactory/dataFactories/*", 

        "Microsoft.DataFactory/factories/*", 

        "Microsoft.Sql/locations/*/read", 

        "Microsoft.Sql/servers/*", 

    ], 

  "notActions": [ 

        "Microsoft.Storage/storageAccounts/blobServices/containers/delete", 

        "Microsoft.Sql/servers/azureADOnlyAuthentications/delete", 

        "Microsoft.Sql/servers/azureADOnlyAuthentications/write" 

], 

 "dataActions": [ 

        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete", 

        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read", 

        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write", 

        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action", 

        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action" 

      ], 

      "notDataActions": [] 

    } 

  ], 

  "roleName": "Custom Role Contributor", 

  "roleType": "CustomRole", 

  "type": "Microsoft.Authorization/roleDefinitions" 

} 

引用:

Azure custom roles - Azure RBAC | Microsoft Docs