用户属性 + 资源属性 + 环境属性 → 策略判断 → 权限
灵活但复杂。
🥊 RBAC vs ABAC 对比(中英双语表格)
| Concept 概念 | RBAC | ABAC |
|---|---|---|
| Primary control 主要控制方式 | Roles 角色 | Attributes 属性 |
| Granularity 粒度 | Coarse 粗 | Fine 细 |
| Flexibility 灵活性 | Medium 中 | High 高 |
| Policy complexity 策略复杂度 | Low 低 | High 高 |
| Best for 最适用场景 | Stable org structures 稳定组织结构 | Dynamic access 动态访问控制 |
| Azure example Azure 示例 | Azure RBAC | 条件式访问、资源条件 |
🧠 How Azure Uses Both
🧠 Azure 如何同时使用 RBAC 与 ABAC
Azure blends both models:
- Azure RBAC → Role-based permissions
- Azure AD Conditional Access → Attribute-based policies
- Azure Storage / Key Vault → Supports ABAC-style resource conditions
- Azure SQL → RBAC for roles + ABAC for MFA/device compliance
Azure 同时使用两者:
- Azure RBAC → 基于角色的权限
- Azure AD 条件式访问 → 基于属性的策略
- Azure Storage / Key Vault → 支持 ABAC 风格的资源条件
- Azure SQL → RBAC 管理角色 + ABAC 实现 MFA/设备合规性
🧾 Summary 总结
-
RBAC = “What role do you have?”
-
ABAC = “What attributes do you and the resource have?”
-
Modern cloud systems combine both for maximum flexibility and security.
-
RBAC = “你拥有什么角色?”
-
ABAC = “你和资源具有什么属性?”
-
现代云系统通常结合两者以获得最大灵活性与安全性。
