ユーザーに対してIAMで複数の権限を付与したときに編集権限である「共同作成者」が優先されるのか、それとも閲覧権限である「閲覧者」が優先されるのか試してみました。
結論
共同作成者(編集権限)が優先されます。
同じスコープに複数の権限を付与した場合
あるユーザーに対してサブスクリプションをスコープとして「閲覧者」と「共同作成者」の権限を付与して試してみます。
サブスクリプションの権限としては以下の状態です。
この状態でリソースグループを作成してみます。
結果は作成可能でした。
なので、共同作成者(編集権限)が優先されることが分かりました。
異なるスコープでそれぞれ異なる権限を付与した場合
先ほどは同じスコープにおける確認でしたが、異なるスコープでの付与の場合にはどのような挙動になるのかを確認します。
サブスクリプションに共同作成者、リソースグループに閲覧者を付与した場合
以下のような状態でストレージアカウント作成してみます。
結果は以下のように作成可能でした。
なので、この場合でも共同作成者(編集権限)が優先されることが分かりました。
サブスクリプションに閲覧者、リソースグループに共同作成者を付与した場合
以下のような状態でストレージアカウント作成してみます。
結果は以下のように作成可能でした。
なので、この場合でも共同作成者(編集権限)が優先されることが分かりました。
