-Rollen%20%E2%80%93%20Leser%20vs.%20ressourcenspezifischer%20Leser.png)
Ich kann es aus der Dokumentation sehr deutlich ersehen, also frage ich hier: Umfasst die Azure IAM-Leserrolle alle ressourcentypspezifischen Leserrollen oder nicht genau? Wenn ich beispielsweise eine Ressource wie Log Analytics Workspace nehme, kann ich dort sowohl Leser als auch Log Analytics Workspace-Leser zuweisen. Die in der Dokumentation/Azure-Portal-Benutzeroberfläche bereitgestellten Rollenbeschreibungen lauten wie folgt:
Leser– Mit der Rolle „Leser“ können Sie alle Ressourcen in einem Automation-Konto anzeigen, aber keine Änderungen vornehmen.
Log Analytics-Leser- Mit der Rolle „Log Analytics-Leser“ können Sie alle Überwachungsdaten anzeigen und durchsuchen sowie Überwachungseinstellungen anzeigen. Dazu gehört auch die Anzeige der Konfiguration der Azure-Diagnose für alle Azure-Ressourcen.
Beim Betrachten dieser Beschreibungen ist nicht ganz klar, ob ich den Log Analytics-Leser als engere Rolle/Teilmenge dessen betrachten kann, was mir die Zuweisung der Leserrolle hinsichtlich der Berechtigungen für den Log Analytics-Arbeitsbereich gewährt?
Antwort1
Mithilfe der Rollendefinitionen für jede integrierte Rolle können Sie basierend auf den bereitgestellten Komponentenberechtigungen genau die gewünschte Rolle ermitteln.
https://docs.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#reader
https://docs.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#log-analytics-reader