我想拒绝对我的日志分析工作区上的特定表进行访问,但是在Microsoft网站上却说:
“注意事项 如果授予用户具有包括* / read操作在内的标准Reader或Contributor角色的全局读取权限,它将覆盖每表访问控制并赋予他们访问所有日志数据的权限。 “
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/manage-access
什么是全局读取权限?这是在订阅级别应用的读者权限吗?如果您在资源组级别申请读取权限,这会影响表级别的RBAC吗?
答案 0 :(得分:0)
什么是全局读取权限?
这意味着rbac角色具有*/read动作,例如Owner,Contributor,Reader,Log Analytics Reader,Log Analytics Contributor。您可以检查doc以获得角色权限的详细信息。
注意:不仅是内置角色,还包括您通过*/read操作创建的自定义角色。
这是在订阅级别应用的读者权限吗?
它可以同时应用于订阅和资源组级别。
如果在订阅级别应用它,它将影响订阅中的所有工作空间。如果在资源组级别应用它,它将仅影响特定资源组中的工作空间,而不会影响其他资源组中的其他工作空间。
如果您在资源组级别申请读取权限,这会影响表级别的RBAC吗?
是的,如果角色是在组A上应用的,而您的工作空间在组A中,则它将影响表级rbac。但是,如果您的工作空间在B组中,则不会受影响。
有关更多详细信息,请参阅RBAC - Scope。