在Azure中,我有一个管理员角色。在Active Directory中,我已添加了一个新用户。我需要向用户授予权限,以使其作为参与者角色访问我们的存储帐户。我混淆了参与者角色和存储帐户参与者角色。如果我仅向存储帐户授予参与者角色的权限,而不是存储帐户参与者角色的权限,该怎么办?如果我给予其中一个或两个角色许可,会发生什么?有人能给我解释清楚吗?
wi3ka0sx1#
Storage Account Contributor角色使用户能够管理存储帐户的几乎所有方面(例如,更新存储帐户、读取访问密钥、重新生成访问密钥,甚至删除存储帐户等)。Contributor角色具有更大的范围,它使用户能够管理Azure订阅中任何资源的几乎所有方面。现在来回答你们的问题:如果我仅为参与者角色而不是存储帐户参与者角色授予存储帐户权限,该怎么办?考虑到您仅将角色的范围限定为存储帐户,我相信这是相同的。如果我对其中一个或两个角色都给予许可,会发生什么?如果您将两个角色(贡献者和存储帐户贡献者)都分配给资源,通常会以较高的角色(在本例中为贡献者)为准。但是,在此场景中,由于您仅将角色的范围限定为存储帐户,因此我相信这是相同的。
Storage Account Contributor
Contributor
dzjeubhm2#
区别在于权限范围。一般贡献者角色:赠款管理所有资源的完全访问权限存储帐户参与者:允许管理存储帐户。提供对帐户密钥的访问权限,该帐户密钥可用于通过共享密钥授权访问数据。(docs)因此,如果您希望限制用户只能管理特定的资源类型,请为他们分配那些特定的服务贡献者角色。两者都可以访问存储帐户中的数据,因为它们可以访问帐户密钥。
rhfm7lfc3#
我没有足够的声誉(需要50)来添加评论,因此将此作为答案发布。参与者和存储帐户参与者在涉及Synapse管道活动时是不同的-它通常需要存储帐户参与者角色。例如:如果在“开发SQL”脚本中运行的查询的链接服务使用系统管理的身份验证,并且系统管理的身份具有 * 参与者角色 *,但不具有 * 存储帐户参与者角色 *,则该查询可能会在管道脚本活动中失败。发生这种情况时,您将看到管道活动错误代码,如“无法列出路径'...'上目录的内容”。有关更多信息,请查看Trouble with Azure Synapse: pipeline cannot execute a stored procedure that works in Develop script
3条答案
按热度按时间wi3ka0sx1#
Storage Account Contributor角色使用户能够管理存储帐户的几乎所有方面(例如,更新存储帐户、读取访问密钥、重新生成访问密钥,甚至删除存储帐户等)。Contributor角色具有更大的范围,它使用户能够管理Azure订阅中任何资源的几乎所有方面。现在来回答你们的问题:
如果我仅为参与者角色而不是存储帐户参与者角色授予存储帐户权限,该怎么办?
考虑到您仅将角色的范围限定为存储帐户,我相信这是相同的。
如果我对其中一个或两个角色都给予许可,会发生什么?
如果您将两个角色(贡献者和存储帐户贡献者)都分配给资源,通常会以较高的角色(在本例中为贡献者)为准。但是,在此场景中,由于您仅将角色的范围限定为存储帐户,因此我相信这是相同的。
dzjeubhm2#
区别在于权限范围。
一般贡献者角色:
赠款管理所有资源的完全访问权限
存储帐户参与者:
允许管理存储帐户。提供对帐户密钥的访问权限,该帐户密钥可用于通过共享密钥授权访问数据。
(docs)
因此,如果您希望限制用户只能管理特定的资源类型,请为他们分配那些特定的服务贡献者角色。
两者都可以访问存储帐户中的数据,因为它们可以访问帐户密钥。
rhfm7lfc3#
我没有足够的声誉(需要50)来添加评论,因此将此作为答案发布。参与者和存储帐户参与者在涉及Synapse管道活动时是不同的-它通常需要存储帐户参与者角色。
例如:如果在“开发SQL”脚本中运行的查询的链接服务使用系统管理的身份验证,并且系统管理的身份具有 * 参与者角色 *,但不具有 * 存储帐户参与者角色 *,则该查询可能会在管道脚本活动中失败。发生这种情况时,您将看到管道活动错误代码,如“无法列出路径'...'上目录的内容”。
有关更多信息,请查看Trouble with Azure Synapse: pipeline cannot execute a stored procedure that works in Develop script