Слоты развертывания Azure RBAC

Мне нужно предоставить разный уровень доступа разным пользователям (или группам) в Azure WebApp и его слотах развертывания.

  1. Если я предоставлю пользователю доступ только к слоту развертывания, он не сможет увидеть его на портале управления Azure.

  2. Если я предоставлю пользователю доступ как «Читатель» ко всему веб-приложению, он сможет изменить настройки приложения (этого не должно было происходить)

  3. Если я дам пользователю доступ как «Читатель» ко всему веб-приложению и как «Владелец» к определенному слоту, он может изменить настройки приложения и поменять местами приложение LIVE (оба они не должны были происходить)

Кто-нибудь может мне объяснить, как дать разрешение «Владелец» только на слот развертывания, а не на все приложение? Спасибо!


azure azure-web-app-service rbac
person Paolo Rossi    schedule 12.01.2016    source источник
comment
Если это так, это почти наверняка ошибка, которую вы должны поднять с MS (и довольно значительную при этом) - мне любопытно воспроизвести ее, но на данный момент у меня нет времени.   -  person Michael B    schedule 12.01.2016
comment
Ссылка на тот же вопрос в MSDN для перекрестной ссылки: social.msdn.microsoft.com/Forums/en-US/   -  person David Ebbo    schedule 12.01.2016

Ответы (1)


arrow_upward
2
arrow_downward

Я отвечу на 3 вопроса ниже

Если я предоставлю пользователю доступ только к слоту развертывания, он не сможет увидеть его на портале управления Azure.

Это ошибка портала (она будет исправлена). К счастью, есть обходной путь, который не слишком болезненный:

  • Войдите в систему как владелец и пройдите в слот портала. URL-адрес будет выглядеть так:

https://portal.azure.com/#resource/subscriptions/{sub}/resourceGroups/{ResourceGroup}/providers/Microsoft.Web/sites/{AppName}/slots/{SlotName}

  • Скопируйте URL-адрес и отправьте его своему пользователю
  • После этого они смогут перейти прямо к слоту, даже если у них нет доступа к веб-приложению. Они даже смогут «прикрепить» его к своей панели управления, чтобы в следующий раз легко найти его, не возвращаясь по ссылке.

Если я предоставлю пользователю доступ как «Читатель» ко всему веб-приложению, он сможет изменить настройки приложения.

Это просто выглядит так из-за другой ошибки портала, но на самом деле это не так. например

  • они не смогут увидеть какие-либо текущие настройки
  • если они что-то меняют, он говорит, что сохранение выполнено успешно, но на самом деле ничего не происходит

Команда портала знает об этом и рассмотрит ее. Но с точки зрения безопасности это безвредно.

Если я даю пользователю доступ как «Читатель» ко всему веб-приложению и как «Владелец» к определенному слоту, он может поменять местами приложение LIVE.

Это похоже на ошибку, и я сообщу об этом. Хороший улов!

Хорошая новость заключается в том, что если вы не предоставите им доступ для чтения к веб-приложению, они не смогут этого сделать. Так что просто используйте технику, которую я описал в первом вопросе, и все должно работать нормально для вашего сценария.

person David Ebbo    schedule 12.01.2016
comment
Большое спасибо, Дэвид! Я уже нашел полный обходной путь ссылки, но ваше объяснение очень помогло мне определить правильную стратегию управления пользователями! И это экономит мне много времени на дальнейшие исследования! - person Paolo Rossi; 12.01.2016
comment
Если я даю пользователю доступ как Читатель ко всему веб-приложению и как Владелец к определенному слоту, он может поменять местами приложение LIVE - это было исправлено. Спасибо, что сообщили об этом! - person RuslanY; 13.01.2016