Где я могу найти соответствие между ролями и механизмами аутентификации для служб Azure?

Question

Пакет npm (https://www.npmjs.com/package/@azure/ms-rest-nodeauth)) описывает различные механизмы аутентификации для Azure:

1. логин / пароль на основе логина
2. сервис-принципал / секретный логин
3. интерактивный / логин потока кода устройства
4. аутентификация субъекта-службы из файла аутентификации на диске
5. Вход в систему на основе MSI (Managed Service Identity) с виртуальной машины, созданной в Azure
6. Вход в систему на основе MSI (Managed Service Identity) из AppService или Azure Function, созданной в Azure.

Я хотел бы знать, какой из этих механизмов может использоваться какими ролями (например, Владелец, Автор и т. Д.) Для выполнения разрешений, которые они имеют. Например, участник не может использовать службу основной / секретный логин (я могу ошибаться) и имя пользователя / пароль могут использоваться только организационными идентификаторами.

Answer 1

Кажется, они не связаны с ролями, например даже если ваша учетная запись не является ролью подписки, вы также можете войти на портал. Кроме того, даже если ваш субъект-сервис не выполняет роль подписки, вы также можете войти в PowerShell, но при доступе к ресурсу Azure вы получите ошибку 401.

Если вы хотите получить доступ к ресурсам Azure через учетную запись пользователя или участника службы, вам необходимо добавить свою учетную запись или участника службы в Access control (IAM) службы, которую вы хотите получить на портале, см. Учебное пособие: Предоставить доступ для пользователь, использующий RBAC и портал Azure .