Azure 中订阅角色、Azure 角色和 Azure AD 角色的区别

近期在忙着 AZ 104 的认证，发现里面有些概念不是太清楚，有点模糊，下面摘抄官网的一些内容，帮你们梳理清楚这些角色之间的关系与不一样。

若是你不熟悉 Azure，可能会发现，要理解 Azure 中的全部不一样角色存在必定的难度。 本文将帮助解释如下角色，以及应在什么时候使用其中的每种角色：

• 经典订阅管理员角色
  • Account Administrator
  • Service Administrator
  • Co-Administrator
• Azure 角色
  • Owner
  • Contributor
  • Reader
  • User Access Administrator
• Azure Active Directory (Azure AD) 角色
  • Global Administrator
  • User Administrator
  • Billing Administrator

角色之间的相互关系

若要更好地理解 Azure 中的角色，最好是先了解一些历史信息。 Azure 最初发布时，对资源的访问权限只是经过如下三种管理员角色进行管理：账户管理员、服务管理员和共同管理员。 稍后，添加了 Azure 基于角色的访问控制 (Azure RBAC)。 Azure RBAC 是一个较新的受权系统，它针对 Azure 资源提供精细的访问管理。 Azure RBAC 包括许多内置角色，可在不一样的范围进行分配，并容许你建立本身的自定义角色。 若要管理 Azure AD 中的资源（例如用户、组和域），能够使用多种 Azure AD 角色。

下图从较高的层面显示了经典订阅管理员角色、Azure 角色与 Azure AD 角色之间的相互关系。

经典订阅管理员角色

账户管理员、服务管理员和共同管理员是 Azure 中的三种经典订阅管理员角色。 经典订阅管理员对 Azure 订阅拥有彻底访问权限。 他们能够使用 Azure 门户、Azure 资源管理器 API 和经典部署模型 API 来管理资源。 用于注册 Azure 的账户会自动同时设置为账户管理员和服务管理员。 而后，能够添加其余共同管理员。 服务管理员和共同管理员拥有在订阅范围内分配有“全部者”角色（一个 Azure 角色）的用户的等效访问权限。 下表描述了这三种经典订阅管理角色之间的差异。

经典订阅管理员	限制	权限	说明
账户管理员	每一个 Azure 账户有 1 个	1. 访问 Azure 账户中心<br>2. 管理账户中的全部订阅<br>3. 建立新订阅<br/>4. 取消订阅<br/>5. 更改订阅的计费<br/>6. 更改服务管理员	在概念上是订阅的计费全部者。<br/>账户管理员无权访问 Azure 门户。
服务管理员	每一个 Azure 订阅有 1 个	在 Azure 门户中管理服务<br/>取消订阅<br/>将用户分配到共同管理员角色	默认状况下，新订阅的账户管理员也是服务管理员。 <br/>服务管理员拥有在订阅范围内分配有“全部者”角色的用户的等效访问权限。 <br/>服务管理员具备 Azure 门户的彻底访问权限。
共同管理员	每一个订阅有 200 个	与服务管理员的访问特权相同，但没法更改订阅与 Azure 目录之间的关联。<br/>将用户分配到共同管理员角色，但没法更改服务管理员	共同管理员拥有在订阅范围内分配有“全部者”角色的用户的等效访问权限。

在 Azure 门户中，能够使用“经典管理员”选项卡管理共同管理员或查看服务管理员。

在 Azure 门户中，能够在订阅的属性边栏选项卡上，查看或更改服务管理员，或是查看账户管理员。

Azure 账户和 Azure 订阅

Azure 账户表明计费关系。 一个 Azure 账户表明一个用户标识、一个或多个 Azure 订阅和一组关联的 Azure 资源。 建立账户的人员是该账户中建立的全部订阅的账户管理员。 此人也是订阅的默认服务管理员。

Azure 订阅可帮助你组织 Azure 资源的访问权限。 它们还可帮助控制如何根据资源使用量生成报告、计费及付费。 每一个订阅能够采用不一样的计费和付款设置，所以，根据办公室、部门、项目等因素，能够采用不一样的订阅和不一样的计划。 每一个服务属于一个订阅，执行编程操做时可能须要订阅 ID。

每一个订阅都与一个 Azure AD 目录相关联。 若要查找与订阅关联的目录，请在 Azure 门户中打开“订阅”，而后选择一个订阅以查看目录。

账户和订阅在 Azure 账户中心进行管理。

Azure 角色

Azure RBAC 是基于 Azure 资源管理器构建的受权系统，它针对 Azure 资源（例如计算和存储）提供精细的访问权限管理。 Azure RBAC 包括 70 多个内置角色。 有四个基本的 Azure 角色。 前三个角色适用于全部资源类型：

Azure 角色	权限	说明
全部者	对全部资源的彻底访问权限<br>将访问权限委托给其余人	服务管理员和共同管理员在订阅范围内分配有“全部者”角色 适用于全部资源类型。
参与者	建立和管理全部类型的 Azure 资源<br/>在 Azure Active Directory 中建立一个新租户<br/>没法将访问权限授予其余人	适用于全部资源类型。
读取者	查看 Azure 资源	适用于全部资源类型。
用户访问管理员	管理用户对 Azure 资源的访问

剩余的内置角色容许管理特定的 Azure 资源。 例如，虚拟机参与者角色容许用户建立和管理虚拟机。 有关全部内置角色的列表，请参阅 Azure 内置角色。

只有 Azure 门户和 Azure 资源管理器 API 支持 Azure RBAC。 分配有 Azure 角色的用户、组和应用程序没法使用 Azure 经典部署模型 API。

在 Azure 门户中，使用 Azure RBAC 的角色分配显示在“访问控制(标识和访问管理)”边栏选项卡上。 在整个门户中均可以找到此边栏选项卡，例如，在管理组、订阅、资源组和各类资源所在的部分。

单击“角色”选项卡时，会看到内置角色和自定义角色的列表。

Azure AD 角色

Azure AD 角色用于管理目录中的 Azure AD 资源，例如，建立或编辑用户、将管理角色分配给其余人、重置用户密码、管理用户许可证以及管理域。 下表描述了几个更重要的 Azure AD 角色。

Azure AD 角色	权限	说明
全局管理员	管理对 Azure Active Directory 中全部管理功能的访问，以及与 Azure Active Directory 联合的服务<br>将管理员角色分配给其余人<br/>重置任何用户和其余全部管理员的密码	注册 Azure Active Directory 租户的人员将成为全局管理员。
用户管理员	建立和管理用户与组的全部方面<br/>管理支持票证<br/>监视服务运行情况<br/>更改用户、支持管理员和其余用户账户管理员的密码
计费管理员	购买产品<br/>管理订阅<br/>管理支持票证<br/>监视服务运行情况

在 Azure 门户中的“角色和管理员”边栏选项卡上，能够看到 Azure AD 角色的列表。 有关全部 Azure AD 角色的列表，请参阅 Azure Active Directory 中的管理员角色权限。

Azure 角色与 Azure AD 角色之间的差异

从较高层面讲，Azure 角色控制 Azure 资源的管理权限，而 Azure AD 角色控制 Azure Active Directory 资源的管理权限。 下表比较了二者之间的一些差异。

Azure 角色	Azure AD 角色
管理对 Azure 资源的访问	管理对 Azure Active Directory 资源的访问
支持自定义角色	支持自定义角色
可在多个级别（管理组、订阅、资源组、资源）指定范围	范围为租户级别
可在 Azure 门户、Azure CLI、Azure PowerShell、Azure 资源管理器模板、REST API 中访问角色信息	可在 Azure 管理门户、Microsoft 365 管理中心、Microsoft Graph、AzureAD PowerShell 中访问角色信息

Azure 角色与 Azure AD 角色是否重叠？

默认状况下，Azure 角色与 Azure AD 角色不会跨越 Azure 与 Azure AD。 可是，若是全局管理员经过在 Azure 门户中选择“Azure 资源的访问管理”开关，提高了本身的访问权限，则会针对特定租户的全部订阅为全局管理员授予用户访问管理员角色（Azure 角色）。 “用户访问管理员”角色容许用户向其余用户授予对 Azure 资源的访问权限。 此开关可帮助从新获取订阅的访问权限。 有关详细信息，请参阅提高访问权限以管理全部 Azure 订阅和管理组。

有多个 Azure AD 角色（例如全局管理员和用户管理员角色）可跨越 Azure AD 和 Microsoft Office 365。 例如，若是你是全局管理员角色的成员，则会得到 Azure AD 和 Office 365 中的全局管理员功能，例如，对 Microsoft Exchange 和 Microsoft SharePoint 进行更改。 可是，在默认状况下，全局管理员无权访问 Azure 资源。

欢迎你们扫码关注，获取更多信息