Azure 中訂閱角色、Azure 角色和 Azure AD 角色的區別

近期在忙着 AZ 104 的認證，發現裏面有些概念不是太清楚，有點模糊，下面摘抄官網的一些內容，幫你們梳理清楚這些角色之間的關係與不一樣。

若是你不熟悉 Azure，可能會發現，要理解 Azure 中的全部不一樣角色存在必定的難度。 本文將幫助解釋如下角色，以及應在什麼時候使用其中的每種角色：

• 經典訂閱管理員角色
  • Account Administrator
  • Service Administrator
  • Co-Administrator
• Azure 角色
  • Owner
  • Contributor
  • Reader
  • User Access Administrator
• Azure Active Directory (Azure AD) 角色
  • Global Administrator
  • User Administrator
  • Billing Administrator

角色之間的相互關係

若要更好地理解 Azure 中的角色，最好是先了解一些歷史信息。 Azure 最初發布時，對資源的訪問權限只是經過如下三種管理員角色進行管理：賬戶管理員、服務管理員和共同管理員。 稍後，添加了 Azure 基於角色的訪問控制 (Azure RBAC)。 Azure RBAC 是一個較新的受權系統，它針對 Azure 資源提供精細的訪問管理。 Azure RBAC 包括許多內置角色，可在不一樣的範圍進行分配，並容許你建立本身的自定義角色。 若要管理 Azure AD 中的資源（例如用戶、組和域），能夠使用多種 Azure AD 角色。

下圖從較高的層面顯示了經典訂閱管理員角色、Azure 角色與 Azure AD 角色之間的相互關係。

經典訂閱管理員角色

賬戶管理員、服務管理員和共同管理員是 Azure 中的三種經典訂閱管理員角色。 經典訂閱管理員對 Azure 訂閱擁有徹底訪問權限。 他們能夠使用 Azure 門戶、Azure 資源管理器 API 和經典部署模型 API 來管理資源。 用於註冊 Azure 的賬戶會自動同時設置爲賬戶管理員和服務管理員。 而後，能夠添加其餘共同管理員。 服務管理員和共同管理員擁有在訂閱範圍內分配有「全部者」角色（一個 Azure 角色）的用戶的等效訪問權限。 下表描述了這三種經典訂閱管理角色之間的差異。

經典訂閱管理員	限制	權限	說明
賬戶管理員	每一個 Azure 賬戶有 1 個	1. 訪問 Azure 賬戶中心<br>2. 管理賬戶中的全部訂閱<br>3. 建立新訂閱<br/>4. 取消訂閱<br/>5. 更改訂閱的計費<br/>6. 更改服務管理員	在概念上是訂閱的計費全部者。<br/>賬戶管理員無權訪問 Azure 門戶。
服務管理員	每一個 Azure 訂閱有 1 個	在 Azure 門戶中管理服務<br/>取消訂閱<br/>將用戶分配到共同管理員角色	默認狀況下，新訂閱的賬戶管理員也是服務管理員。 <br/>服務管理員擁有在訂閱範圍內分配有「全部者」角色的用戶的等效訪問權限。 <br/>服務管理員具備 Azure 門戶的徹底訪問權限。
共同管理員	每一個訂閱有 200 個	與服務管理員的訪問特權相同，但沒法更改訂閱與 Azure 目錄之間的關聯。<br/>將用戶分配到共同管理員角色，但沒法更改服務管理員	共同管理員擁有在訂閱範圍內分配有「全部者」角色的用戶的等效訪問權限。

在 Azure 門戶中，能夠使用「經典管理員」選項卡管理共同管理員或查看服務管理員。

在 Azure 門戶中，能夠在訂閱的屬性邊欄選項卡上，查看或更改服務管理員，或是查看賬戶管理員。

Azure 賬戶和 Azure 訂閱

Azure 賬戶表明計費關係。 一個 Azure 賬戶表明一個用戶標識、一個或多個 Azure 訂閱和一組關聯的 Azure 資源。 建立賬戶的人員是該賬戶中建立的全部訂閱的賬戶管理員。 此人也是訂閱的默認服務管理員。

Azure 訂閱可幫助你組織 Azure 資源的訪問權限。 它們還可幫助控制如何根據資源使用量生成報告、計費及付費。 每一個訂閱能夠採用不一樣的計費和付款設置，所以，根據辦公室、部門、項目等因素，能夠採用不一樣的訂閱和不一樣的計劃。 每一個服務屬於一個訂閱，執行編程操做時可能須要訂閱 ID。

每一個訂閱都與一個 Azure AD 目錄相關聯。 若要查找與訂閱關聯的目錄，請在 Azure 門戶中打開「訂閱」，而後選擇一個訂閱以查看目錄。

賬戶和訂閱在 Azure 賬戶中心進行管理。

Azure 角色

Azure RBAC 是基於 Azure 資源管理器構建的受權系統，它針對 Azure 資源（例如計算和存儲）提供精細的訪問權限管理。 Azure RBAC 包括 70 多個內置角色。 有四個基本的 Azure 角色。 前三個角色適用於全部資源類型：

Azure 角色	權限	說明
全部者	對全部資源的徹底訪問權限<br>將訪問權限委託給其餘人	服務管理員和共同管理員在訂閱範圍內分配有「全部者」角色 適用於全部資源類型。
參與者	建立和管理全部類型的 Azure 資源<br/>在 Azure Active Directory 中建立一個新租戶<br/>沒法將訪問權限授予其餘人	適用於全部資源類型。
讀取者	查看 Azure 資源	適用於全部資源類型。
用戶訪問管理員	管理用戶對 Azure 資源的訪問

剩餘的內置角色容許管理特定的 Azure 資源。 例如，虛擬機參與者角色容許用戶建立和管理虛擬機。 有關全部內置角色的列表，請參閱 Azure 內置角色。

只有 Azure 門戶和 Azure 資源管理器 API 支持 Azure RBAC。 分配有 Azure 角色的用戶、組和應用程序沒法使用 Azure 經典部署模型 API。

在 Azure 門戶中，使用 Azure RBAC 的角色分配顯示在「訪問控制(標識和訪問管理)」邊欄選項卡上。 在整個門戶中均可以找到此邊欄選項卡，例如，在管理組、訂閱、資源組和各類資源所在的部分。

單擊「角色」選項卡時，會看到內置角色和自定義角色的列表。

Azure AD 角色

Azure AD 角色用於管理目錄中的 Azure AD 資源，例如，建立或編輯用戶、將管理角色分配給其餘人、重置用戶密碼、管理用戶許可證以及管理域。 下表描述了幾個更重要的 Azure AD 角色。

Azure AD 角色	權限	說明
全局管理員	管理對 Azure Active Directory 中全部管理功能的訪問，以及與 Azure Active Directory 聯合的服務<br>將管理員角色分配給其餘人<br/>重置任何用戶和其餘全部管理員的密碼	註冊 Azure Active Directory 租戶的人員將成爲全局管理員。
用戶管理員	建立和管理用戶與組的全部方面<br/>管理支持票證<br/>監視服務運行情況<br/>更改用戶、支持管理員和其餘用戶賬戶管理員的密碼
計費管理員	購買產品<br/>管理訂閱<br/>管理支持票證<br/>監視服務運行情況

在 Azure 門戶中的「角色和管理員」邊欄選項卡上，能夠看到 Azure AD 角色的列表。 有關全部 Azure AD 角色的列表，請參閱 Azure Active Directory 中的管理員角色權限。

Azure 角色與 Azure AD 角色之間的差異

從較高層面講，Azure 角色控制 Azure 資源的管理權限，而 Azure AD 角色控制 Azure Active Directory 資源的管理權限。 下表比較了二者之間的一些差異。

Azure 角色	Azure AD 角色
管理對 Azure 資源的訪問	管理對 Azure Active Directory 資源的訪問
支持自定義角色	支持自定義角色
可在多個級別（管理組、訂閱、資源組、資源）指定範圍	範圍爲租戶級別
可在 Azure 門戶、Azure CLI、Azure PowerShell、Azure 資源管理器模板、REST API 中訪問角色信息	可在 Azure 管理門戶、Microsoft 365 管理中心、Microsoft Graph、AzureAD PowerShell 中訪問角色信息

Azure 角色與 Azure AD 角色是否重疊？

默認狀況下，Azure 角色與 Azure AD 角色不會跨越 Azure 與 Azure AD。 可是，若是全局管理員經過在 Azure 門戶中選擇「Azure 資源的訪問管理」開關，提高了本身的訪問權限，則會針對特定租戶的全部訂閱爲全局管理員授予用戶訪問管理員角色（Azure 角色）。 「用戶訪問管理員」角色容許用戶向其餘用戶授予對 Azure 資源的訪問權限。 此開關可幫助從新獲取訂閱的訪問權限。 有關詳細信息，請參閱提高訪問權限以管理全部 Azure 訂閱和管理組。

有多個 Azure AD 角色（例如全局管理員和用戶管理員角色）可跨越 Azure AD 和 Microsoft Office 365。 例如，若是你是全局管理員角色的成員，則會得到 Azure AD 和 Office 365 中的全局管理員功能，例如，對 Microsoft Exchange 和 Microsoft SharePoint 進行更改。 可是，在默認狀況下，全局管理員無權訪問 Azure 資源。

歡迎你們掃碼關注，獲取更多信息