仅具有对资源组的READER访问权限的用户仍可以使用该资源(不管理诸如修改或扩展它的活动,而实际上在VM的情况下像RDP那样使用它,而在DB的情况下实际上像RDP那样使用它)。 >
场景: 如果我在资源组(RG)中具有Azure SQL数据库(AZSQL),则用户(USR)在资源组及其内容上仅具有READER访问权限。 用户(USR)能够使用数据库来存储\检索数据并对其执行所有CRUD(CREATE,READ,UPDATE和DELETE)操作。
目的是限制用户仅使用资源的访问权限,而不是让他们能够修改资源的配置或设置。 上面提到了示例方案。
PS:当我意识到CosmosDB仍在带有Azure AD的RBAC上挂起时,将方案更新为SQL DB
答案 0 :(得分:0)
在您的特定情况下,当然可以这样做。我自己没有尝试过,但是可以将基于角色的访问控制(RBAC)角色分配给Cosmos DB帐户。
您需要做的是分配用户Cosmos DB Account Reader Role。
要添加用户并分配角色,请参阅此link。
然后,用户将能够从帐户中读取数据。我不确定用户可以在该角色中执行哪些其他操作。
答案 1 :(得分:0)
我已经对此进行了测试。如果您分配用户Cosmos DB Account Reader Role,则该用户将能够从中读取数据,但不能执行其他操作(如存储和删除)。
您需要分配用户贡献者角色,然后用户将能够存储数据并配置设置。因此,内置角色将不适用于您。
您可以创建自己的custom roles以满足您的需求。就像内置角色一样,您可以在订阅,资源组和资源范围内为用户,组和服务主体分配自定义角色。