对资源组具有READER访问权限的用户是否仍然可以使用该资源(不管理修改或扩展它等活动,但实际上在VM的情况下像RDP一样使用它,在DB的情况下添加表等)。
场景:如果我在资源组(RG)中有Azure SQL数据库(AZSQL),则用户(USR)只对资源组及其内容具有READER访问权限。用户(USR)是否能够使用数据库来存储\检索数据并对其执行所有CRUD(CREATE,READ,UPDATE和DELETE)操作。
目的是限制用户仅使用资源的访问权限,而不是让他们能够修改资源的配置或设置。上面提到了示例场景。
PS:当我意识到CosmosDB仍然在使用Azure AD的RBAC上待决时,更新了SQL DB的方案
在您的特定场景中,当然可以这样做。我自己没有尝试过,但可以将基于角色的访问控制(RBAC)角色分配给Cosmos DB帐户。
你需要做的是分配用户Cosmos DB Account Reader Role。
要添加用户和分配角色,请参阅此link。
然后,用户将能够从帐户中读取数据。我不确定用户能够在该角色中执行哪些其他操作。
我已经在我这边测试了这个。如果您为用户分配Cosmos DB Account Reader Role,则用户将能够从中读取数据,但无法执行其他操作(如存储和删除)。
您需要分配用户参与者角色,然后用户将能够存储数据并配置设置。因此内置角色不适合您。
您可以创建自己的custom roles以满足您的需求。与内置角色一样,您可以在订阅,资源组和资源范围为用户,组和服务主体分配自定义角色。