问题描述
我想知道 Azure RBAC 资源角色的作用。如果说我在存储帐户级别分配了一个“存储 blob 数据贡献者”角色,并在容器级别分配了一个“存储 blob 读取器角色”,哪个将生效,容器角色或在存储帐户设置的角色层,因为它在更高的层次上?
解决方法
Azure RBAC 角色是附加的。从这个link:
那么,如果您有多个重叠的角色分配会怎样? Azure RBAC 是一种附加模型,因此您的有效权限是 角色分配的总和。考虑以下示例,其中一个 用户被授予订阅范围内的贡献者角色,并且 资源组上的读者角色。贡献者总和 权限和读者权限实际上是贡献者 订阅的角色。因此,在这种情况下,Reader 角色 分配没有影响。
在您的情况下,如果您在存储帐户级别分配了“存储 Blob 数据贡献者”角色,并在容器级别分配了“存储 Blob 读取者角色”,则用户将拥有“存储 Blob 数据贡献者”角色在容器级别。