Некоторая информация суммирована мной, чтобы помочь вам понять.
1. Роли RBAC используются для назначения пользователю / субъекту-службе, тогда пользователь / субъект-субъект сможет получить доступ к ресурсам Azure. в области, где вы назначаете им роль. Если вы не знакомы с принципалом службы, см. doc .
. Имеется встроенных ролей , или вы можете создать настраиваемую роль ,они все роли RBAC. Каждая роль имеет permissions, например, владелец имеет разрешение Microsoft.Authorization/*/Write, разрешает Create roles, role assignments, policy assignments, policy definitions and policy set definitions. После того, как пользователь / субъект службы был назначен в качестве роли RBAC, он получит соответствующие разрешения.
2.Azure Роли RBAC и роли в назначении ролей - это одно и то же.
например, роль владельца Azure RBAC может создавать роли входа администратора виртуальной машины, поэтому все они являются ролями вызова !!!!!! очень сбивает с толку
Следует отметить, что не вызванный create, Virtual Machine Administrator Login является встроенной ролью RBAC, которую в Azure определяет, Owner просто назначаетсубъект пользователя / службы как роль Virtual Machine Administrator Login в некоторой области (например, ваша группа ресурсов / подписка / виртуальная машина).
Другой момент, Owner - это роль, которая имеетбольшинство разрешений во всех ролях RBAC. Во встроенных ролях просто Owner и User Access Administrator могут назначать участника службы / пользователя в качестве роли RBAC (просто Owner и User Access Administrator имеют Microsoft.Authorization/*/Write разрешение, о котором я упоминал выше, использовалось для назначения ролей. If you create a custom role which also has this permission, it will also be able to assign role). Так что you, который я сказал в 1, должно быть Owner.