%20%E2%80%94%20%D0%A7%D0%B8%D1%82%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%20%D0%B8%20%D0%A7%D0%B8%D1%82%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%2C%20%D0%B7%D0%B0%D0%B2%D0%B8%D1%81%D1%8F%D1%89%D0%B8%D0%B9%20%D0%BE%D1%82%20%D1%80%D0%B5%D1%81%D1%83%D1%80%D1%81%D0%B0.png)
Я вижу это очень ясно из документации, поэтому спрашиваю здесь, включает ли роль Azure IAM Reader все эти специфические для типа ресурса роли Reader или нет? Например, если я возьму какой-то ресурс, например Log Analytics Workspace - там я могу назначить как Reader, так и Log Analytics Workspace Reader, описания ролей, предоставленные документацией/UI портала Azure, следующие:
Читатель- Роль «Читатель» позволяет вам просматривать все ресурсы в учетной записи автоматизации, но не позволяет вносить какие-либо изменения.
Читатель аналитики журналов- Роль Log Analytics Reader позволяет просматривать и искать все данные мониторинга, а также просматривать настройки мониторинга. Это включает просмотр конфигурации диагностики Azure на всех ресурсах Azure.
Глядя на эти описания, не совсем ясно, могу ли я рассматривать роль читателя Log Analytics как более узкую роль/подмножество того, что мне дает назначение роли читателя, когда речь идет о разрешениях рабочей области Log Analytics?
решение1
Определения ролей для каждой встроенной роли помогут вам точно определить, какая роль вам нужна, исходя из предоставляемых ею разрешений компонентов.
https://docs.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#reader
https://docs.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#log-analytics-reader