蔚蓝着陆区:所有的BuiltInRoles被分配给什么？特别适用于管理组、订阅、Vnet、网关、VM、SA、SQL

Question

目前，我正致力于在Azure建立云采用框架的企业级着陆区.

Azure有一个定义在本文中的BuiltInRoles列表-- https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles。

我不清楚应该把哪个角色分配给哪个资源。

特别是对于下面的参考资料

• 管理小组
• 订阅
• 瓦涅茨
• 入口，
• VMs
• 储存账户，
• SQL数据库

您能建议在提供上面列出的任何资源时应该分配哪些角色吗？

Answer 1

云采用框架并不是要在一些任意的资源上放置一些角色。您必须从层次层次的角度来看待这个框架。每个层次结构都有自己的目的，因此使用自己的一组权限来部署该特定步骤所需的资源。我引用了aztfmod (Terraform + CAF)中的一些角色映射模板，以便您了解角色/权限结构。

• 0级:核心平台自动化
  • 计费订阅角色委托(来源)
  • 凭据角色映射(来源)
  • 启动垫角色映射(来源)

• 第1级:核心平台治理
• 第2级:核心平台连接性
  • ASVM角色映射(来源)

• 三级:应用着陆区自动售货机
• 4级:应用程序着陆区

如果正确理解级别，就可以推断CAF框架部署的哪个阶段需要什么样的权限。例如：

• 级别0是由租户管理员和企业协议(EA)用户发起的，而且它需要是初始"launchpad“订阅的所有者。
• 从此用户将为部署的其他每个阶段创建服务主体，并根据最小权限原则委派权限。
• 密钥库和密钥库策略用于在两步之间交换诸如凭据之类的敏感信息。
• 然后，每个平台步骤(自动化、治理、连接)都由自己的服务主体运行，并在特定范围(管理组、订阅、资源组)上设置自己的特定权限集。
• 当所有平台组件就位时，您将能够提供自定义着陆区。在这里，您将再次创建范围为单个订阅的服务主体。这些服务主体只能在该着陆区部署资源。
• 等。

我不建议手动设置CAF或权限，因为这将成为维护的麻烦。例如，您可以使用aztfmod，一个CAF的Terraform实现。如果按照描述的这里步骤执行，您将创建terraform配置来部署CAF设置。

​

​