Azure's RBAC是一种授权方案

• （卫生组织） 允许“* 一个实体 ”（或“ 身份 *”）（在官方术语中，安全主体）
• （How） 访问 （即，执行操作）（在官方术语中，角色）
• （WHAT）on a“set of resources”（关于“* 一组资源 *”） （官方术语为范围）。

1. RBAC构建模块

1.1安全主体1（WHO）

“* 请求访问Azure资源的实体 *”在形式上称为安全主体，它可以是

*一月一日

在Azure Active Directory中拥有配置文件的个人。您还可以将角色分配给其他租户中的用户。有关其他组织中的用户的信息，请参阅Azure Active Directory B2B。

*一米一米一

在Azure Active Directory中创建的一组用户。将角色分配给组时，该组中的所有用户都具有该角色。

*一米二米一x

应用程序或服务用于访问特定Azure资源的安全标识。您可以将其视为应用程序的用户标识（用户名和密码或证书）。
另请参阅：使用Azure CLI创建Azure服务主体

*一米三米一x

Azure Active Directory中由Azure自动管理的标识（更具体地说，是一种特殊类型的服务主体）。在开发云应用程序时，通常使用managed identities来管理用于向Azure服务进行身份验证的凭据。
（定义取自官方文档中的Steps to assign an Azure role文章。
补充阅读：

• ！devblogs.microsoft.com Demystifying Service Principals – Managed Identities
• endjin.com：使用Azure AD、服务主体和托管身份管理应用程序：许可的故事
• stackoverflow : Difference between Service Principal and Managed Identities in Azure

1.2作用域（WHAT）

官方定义是“* 作用域是访问所应用的资源集 *"。
我喜欢这个简化的视图，因为最终，一个scope确实解析为一组资源，但更确切地说，它是指分层树结构中的一个实体，每个实体都对Azure资源具有权限：

• 作用域=/= Azure实体
• scope ===分配给Azure实体的资源

Understand scope for Azure RBAC是Azure文档中最简单的文章之一，其中有很好的示例。

1.3角色（How）1

例如，***如何***允许安全主体访问资源（即范围）。2
文档对这一点非常简单：

*角色定义*是权限的集合，通常简称为角色，角色定义列出了可以执行的操作，如读、写、删除等。

2.角色分配-综合考虑1

角色分配*是将角色定义附加到特定作用域中的用户、组、服务主体或托管标识以授予访问权限的过程。

也就是说，它是将角色定义应用于具有给定范围的安全主体。（我将角色分配称为“RBAC访问规则”，因为它使所有这些更容易记住和联系。）

脚注

[1]：角色定义的区别因为文档中的措辞，我不太清楚角色分配。例如，在Azure built-in roles中，Contributor被描述为赠款“* 管理所有资源的完全访问权限 *”的角色，在我的理解中，这将使其不仅仅是角色定义（即角色定义+作用域），但它的JSON表示清楚地表明：所有这些都是纯粹的角色，唯一提到的作用域与在角色分配期间可以分配给它们的作用域的限制有关（参见AssignableScopes）。
[2]：是的，这一个是有点强迫……