Глобальные разрешения только для чтения и RBAC на уровне таблицы

Question

Я хочу запретить доступ к определенным таблицам в моих рабочих пространствах анализа журналов, однако на сайте Microsoft написано:

"Соображения Если пользователю предоставляется глобальное разрешение на чтение со стандартными ролями Reader или Contributor, которые включают действие * / read, он переопределит управление доступом для каждой таблицы и предоставит им доступ ко всем данным журнала. «

https://docs.microsoft.com/en-us/azure/azure-monitor/platform/manage-access

что такое глобальное разрешение на чтение? это разрешение читателя применяется на уровне подписки? если вы подаете заявку на разрешение на чтение на уровне группы ресурсов, это повлияет на RBAC уровня таблицы?

Answer 1

что такое глобальное разрешение на чтение?

Это означает, что роль rbac имеет действие */read, например, Owner, Contributor, Reader, Log Analytics Reader, Log Analytics Contributor.Вы можете проверить doc для получения подробной информации о разрешениях ролей.

Примечание : не только встроенные роли, но и пользовательская роль, созданная вами с помощью действия */read.

применяется ли это разрешение на чтение на уровне подписки?

Может применяться как на уровне подписки, так и на уровне группы ресурсов.

Если он был применен на уровне подписки, он повлияет на все рабочие области в подписке.Если он был применен на уровне группы ресурсов, он просто влияет на рабочую область в конкретной группе ресурсов, не повлияет на другие рабочие области в других группах ресурсов.

, если вы подаете заявку на разрешение на чтение наУровень группы ресурсов это повлияет на уровень таблицы RBAC?

Да, если роль была применена в группе A, а ваше рабочее пространство находится в группе A, это повлияет на уровень таблицы rbac.Но если ваше рабочее пространство находится в группе B., это не повлияет.

Для получения более подробной информации вы можете обратиться к RBAC - Scope .