了解 Azure 中的资源访问权限

Azure 中的访问控制首先体现在计费方面。 Azure 帐户的所有者(可通过访问 Azure 帐户中心进行访问)是帐户管理员 (AA)。 订阅是计费容器,但它们也可充当安全边界:每个订阅都有一个服务管理员 (SA),此管理员可以使用 Azure 门户在该订阅中添加、删除和修改 Azure 资源。 新订阅的默认 SA 是 AA,但 AA 可以在 Azure 帐户中心更改 SA。



Azure 帐户

订阅也与目录相关联。 目录定义一组用户。 这些用户可以是创建该目录的公司或学校的用户,也可以是外部来宾用户。 订阅可由这些已被指定为服务管理员 (SA) 或协同管理员 (CA) 的目录用户的子集来访问;唯一的例外是,为了保持向后兼容,可以将 Microsoft 帐户(以前称为 Windows Live ID)指定为 SA 或 CA,而这些帐户不必存在于目录中。



Azure 中的访问控制

通过 Microsoft 帐户登录的 SA 可以使用 Azure 门户中的功能更改与订阅相关联的目录。 此操作会影响该订阅的访问控制。



简单的用户登录流

在简单的情况下,组织(如 Contoso)将对同一组订阅实行计费和访问控制。 也就是说,目录与由单个 Azure 帐户所拥有的订阅关联。 一旦成功登录到 Azure 门户,用户就可以看到两组资源(在前面的插图中以橘色表示):

  • 其用户帐户所在的目录(源用录或添加为外部主体)。 请注意,用于登录的目录与此计算无关,因此,目录将始终显示,而不考虑登录位置。
  • 作为订阅一部分的资源,这些订阅与用于登录的目录关联且用户可以访问(对于此订阅,用户是 SA 或 CA)。



具有多个订阅和目录的用户

其订阅跨多个目录的用户可以使用订阅筛选器来切换 Azure 门户的当前上下文。 事实上,这会导致单独登录到不同的目录,但这可以使用单一登录 (SSO) 无缝地实现。

由于这种单一的订阅目录视图所导致的结果,诸如在订阅之间移动资源的操作可能会更难以实现。 若要执行资源传输,务必首先使用“订阅”页上“设置”中的“编辑目录”命令将订阅与相同目录关联。

后续步骤