【发布时间】:2015-08-19 06:43:56
【问题描述】:
我想了解管理开发人员对客户订阅资源子集的访问权限的最佳做法是什么?
我已经搜索了 Google 和 Azure 文档以寻找明确的答案,但我还没有看到一篇将所有内容放在一起的文章。由于 Azure 仍在快速发展,我经常发现很难确定某篇文章是否仍然相关。
总结一下我们的情况:
我的任务是为我们公司正在为客户开发的网站研究和实施 Azure 基础架构。目前,我们的经理和我可以通过服务管理员的凭据访问客户在 Azure 门户上的全部订阅,即使我们只是在管理:
- 运行 Web 角色的 Azure 云服务(具有生产和暂存环境的 2 个实例)。
- Azure SQL 数据库。
- 用于部署、诊断等的 Azure Blob 存储。
我们现在正进入一个阶段,团队中的更多开发人员需要访问权限才能执行维护类型的任务,例如执行 VIP 交换、检索诊断信息等。
管理开发人员对此类项目的访问权限的正确方法是什么?
我采用的方法是实现基于角色的访问控制 (https://azure.microsoft.com/en-us/documentation/articles/role-based-access-control-configure/)
- 根据http://blog.kloud.com.au/2015/03/24/moving-resources-between-azure-resource-groups/将上面的1、2、3移动到新的资源组中
- 为我们公司创建一个新的用户组,例如“GroupXYZ”。
- 将“GroupXYZ”添加到贡献者角色。
- 将特定开发者的公司帐户添加到“GroupXYZ”
采用基于角色的方法的动机
- 据我了解,授予每个人作为共同管理员的访问权限意味着他们可以完全访问门户中的每个订阅。
- 基于帐户的身份验证优于基于证书的身份验证,因为管理证书增加了复杂性。
让我质疑我的方法的原因是我无法使用 PowerShell 对云服务执行 VIP 交换;我收到一条错误消息,指出找不到证书。
此类基于角色的帐户是否只能通过资源管理器命令行开关访问 Azure?
在访问 Move-AzureDeployment 命令行开关之前,我必须将 PowerShell 切换到 Azure 服务管理器 (ASM) 模式。
我不确定的另一件事是,在使用基于角色的访问控制时,Visual Studio 是否可以访问这些资源(在资源组中)。
【问题讨论】:
标签: powershell azure