基于角色的访问控制

通过 RBAC， ，你将为用户、组或服务委托人等身份分配特定角色，以管理对 Azure 中资源的访问。这是一种确保每个身份只拥有执行其工作所需的权限的方法，有助于最大限度地降低安全风险。RBAC 遵循 "最小特权 "原则，即根据用户需要执行的特定任务授予权限，而不是一揽子授予访问权限。在 Azure 中，角色定义了一组权限，这些角色被分配给定义范围内的身份，如订阅、资源组或单个资源。

Azure RBAC 提供了几种涵盖常见场景的内置角色：

所有者

对所有资源的完全访问权限，包括将访问权限委托给他人的能力

贡献者

可以 创建和管理资源，但不能授予他人访问权

读者

可以 查看资源，但不能进行更改

用户访问管理员

可以 管理对 Azure 资源的访问

基于角色的访问控制管理员

可以管理所有范围内的角色分配

除了这些通用角色外，还有跨 Azure 资源不同部分（如计算、存储、网络、数据库、容器等）的内置角色。此外，当内置角色无法满足特定要求时，Azure 还允许创建自定义角色。自定义角色可进行定制，只包含组织内特定任务或角色所需的权限。

范围决定了权限的适用范围，可以在管理组、订阅、资源组或资源级别进行设置。在订阅等更大范围内分配角色，意味着权限将向下继承到所有包含的资源。这种分级方法有助于在大型 Azure 环境中组织和管理访问。

# Define the properties of the custom role
customRole='{ ...