Vytvoření nebo aktualizace vlastních rolí pomocí portálu Azure Portal

Pokud předdefinované role Azure nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní vlastní role Azure. Stejně jako předdefinované role můžete uživatelům, skupinám a instančním objektům přiřadit vlastní role v oborech předplatného a skupiny prostředků. Vlastní role se ukládají v adresáři Azure Active Directory (Azure AD) a můžou se sdílet mezi předplatnými. Každý adresář může mít až 5000 vlastních rolí. Vlastní role se dají vytvořit pomocí Azure Portal, Azure PowerShell, rozhraní příkazového řádku Azure nebo REST API. Tento článek popisuje, jak pomocí Azure Portal vytvořit vlastní role.

Požadavky

K vytvoření vlastních rolí budete potřebovat:

Krok 1: určení potřebných oprávnění

Azure má tisíce oprávnění, která můžete zahrnout do vaší vlastní role. Tady je několik metod, které vám pomůžou určit oprávnění, která budete chtít přidat do vlastní role:

Krok 2: Volba způsobu spuštění

Existují tři způsoby, jak můžete začít vytvářet vlastní role. Můžete naklonovat stávající roli, začít od začátku nebo začít se souborem JSON. Nejjednodušší způsob je najít stávající roli, která má většinu oprávnění, která potřebujete, a pak ji klonovat a upravit pro váš scénář.

Naklonování role

Pokud existující role nemá poměrně potřebná oprávnění, můžete ji klonovat a pak změnit její oprávnění. Pomocí těchto kroků spustíte klonování role.

  1. V Azure Portal otevřete předplatné nebo skupinu prostředků, ve které chcete přiřadit vlastní roli, a pak otevřete řízení přístupu (IAM).

    Na následujícím snímku obrazovky vidíte stránku řízení přístupu (IAM) otevřenou pro předplatné.

    Stránka řízení přístupu (IAM) pro předplatné

  2. Kliknutím na kartu role zobrazíte seznam všech předdefinovaných a vlastních rolí.

  3. Vyhledejte roli, kterou chcete klonovat, jako je například role čtecího modulu fakturace.

  4. Na konci řádku klikněte na tři tečky (...) a pak klikněte na klonovat.

    Klonovat kontextovou nabídku

    Tím se otevře Editor vlastních rolí s vybranou možností klonovat roli .

  5. Přejděte ke kroku 3: Základy.

Začátek od nuly

Pokud budete chtít, můžete podle těchto kroků začít vlastní roli úplně od začátku.

  1. V Azure Portal otevřete předplatné nebo skupinu prostředků, ve které chcete přiřadit vlastní roli, a pak otevřete řízení přístupu (IAM).

  2. Klikněte na Přidat a pak klikněte na Přidat vlastní roli.

    Přidat vlastní nabídku role

    Otevře se Editor vlastních rolí s vybranou možností začít od začátku .

  3. Přejděte ke kroku 3: Základy.

Začít od formátu JSON

Pokud dáváte přednost, můžete v souboru JSON zadat většinu vlastních hodnot role. Tento soubor můžete otevřít v Editoru vlastních rolí, udělat další změny a pak vytvořit vlastní roli. Pomocí následujícího postupu začněte se souborem JSON.

  1. Vytvořte soubor JSON, který má následující formát:

    {
        "properties": {
            "roleName": "",
            "description": "",
            "assignableScopes": [],
            "permissions": [
                {
                    "actions": [],
                    "notActions": [],
                    "dataActions": [],
                    "notDataActions": []
                }
            ]
        }
    }
    
  2. V souboru JSON zadejte hodnoty pro různé vlastnosti. Tady je příklad s přidanými hodnotami. Informace o různých vlastnostech najdete v tématu vysvětlení definic rolí Azure.

    {
        "properties": {
            "roleName": "Billing Reader Plus",
            "description": "Read billing data and download invoices",
            "assignableScopes": [
                "/subscriptions/11111111-1111-1111-1111-111111111111"
            ],
            "permissions": [
                {
                    "actions": [
                        "Microsoft.Authorization/*/read",
                        "Microsoft.Billing/*/read",
                        "Microsoft.Commerce/*/read",
                        "Microsoft.Consumption/*/read",
                        "Microsoft.Management/managementGroups/read",
                        "Microsoft.CostManagement/*/read",
                        "Microsoft.Support/*"
                    ],
                    "notActions": [],
                    "dataActions": [],
                    "notDataActions": []
                }
            ]
        }
    }
    
  3. V Azure Portal otevřete stránku řízení přístupu (IAM) .

  4. Klikněte na Přidat a pak klikněte na Přidat vlastní roli.

    Přidat vlastní nabídku role

    Otevře se Editor vlastních rolí.

  5. Na kartě základy vyberte v části základní oprávnění možnost začít od formátu JSON.

  6. Vedle pole vybrat soubor klikněte na tlačítko Složka a otevřete dialogové okno otevřít.

  7. Vyberte soubor JSON a pak klikněte na otevřít.

  8. Přejděte ke kroku 3: Základy.

Krok 3: Základy

Na kartě základy zadáte název, popis a základní oprávnění pro vlastní roli.

  1. Do pole název vlastní role zadejte název vlastní role. Název musí být pro adresář služby Azure AD jedinečný. Název může obsahovat písmena, číslice, mezery a speciální znaky.

  2. Do pole Popis zadejte volitelný popis vlastní role. Tím se stane popis pro vlastní roli.

    Možnost oprávnění standardních hodnot by již měla být nastavena v závislosti na předchozím kroku, ale lze ji změnit.

    Karta základy se zadanými hodnotami

Krok 4: oprávnění

Na kartě oprávnění zadáte oprávnění pro vlastní roli. V závislosti na tom, jestli jste naklonoval roli nebo pokud jste začali s JSON, může mít karta oprávnění už seznam oprávnění.

Karta oprávnění pro vytvoření vlastní role

Přidat nebo odebrat oprávnění

Pomocí těchto kroků můžete přidat nebo odebrat oprávnění pro vlastní roli.

  1. Chcete-li přidat oprávnění, klikněte na tlačítko Přidat oprávnění a otevřete podokno přidat oprávnění.

    V tomto podokně jsou uvedena všechna dostupná oprávnění seskupená do různých kategorií ve formátu karty. Každá kategorie představuje poskytovatele prostředků, což je služba, která poskytuje prostředky Azure.

  2. V poli Hledat oprávnění zadejte řetězec, ve kterém chcete vyhledat oprávnění. Vyhledejte například fakturu a vyhledejte oprávnění související s fakturou.

    Na základě vašeho hledaného řetězce se zobrazí seznam karet poskytovatele prostředků. Seznam způsobu mapování poskytovatelů prostředků na služby Azure najdete v tématu poskytovatelé prostředků pro služby Azure.

    Přidání podokna oprávnění s poskytovatelem prostředků

  3. Klikněte na kartu poskytovatel prostředků, která může mít oprávnění, která chcete přidat do vlastní role, jako je například fakturace společnosti Microsoft.

    V závislosti na hledaném řetězci se zobrazí seznam oprávnění pro správu pro tohoto poskytovatele prostředků.

    Přidat seznam oprávnění

  4. Pokud hledáte oprávnění, která se vztahují na rovinu dat, klikněte na položku akce s daty. V opačném případě ponechte přepínač akce nastaven na Akce k zobrazení seznamu oprávnění, která se vztahují na rovinu správy. Další informace o rozdílech mezi rovinou správy a rovinou dat najdete v tématu Správa a operace s daty.

  5. V případě potřeby aktualizujte hledaný řetězec a upřesněte hledání.

  6. Jakmile najdete jedno nebo více oprávnění, která chcete přidat do vlastní role, přidejte u nich zaškrtnutí u oprávnění. Například zaškrtněte políčko další : stáhnout fakturu , abyste mohli přidat oprávnění ke stažení faktur.

  7. Kliknutím na Přidat přidejte oprávnění do seznamu oprávnění.

    Oprávnění se přidá jako Actions nebo DataActions .

    Přidaná oprávnění

  8. Chcete-li odebrat oprávnění, klikněte na ikonu Odstranit na konci řádku. Vzhledem k tomu, že uživatel nebude potřebovat možnost vytvářet lístky podpory, může být v tomto příkladu Microsoft.Support/* oprávnění odstraněno.

Přidat oprávnění zástupných znaků

V závislosti na tom, jak se rozhodnete začít, můžete mít ve svém seznamu oprávnění zástupné znaky ( * ). Zástupný znak ( * ) rozšiřuje oprávnění na vše, co odpovídá řetězci akce, který zadáte. Například následující zástupný řetězec přidá všechna oprávnění související s Azure Cost Management a exporty. To by také zahrnovalo všechna budoucí oprávnění k exportu, která by se mohla přidat.

Microsoft.CostManagement/exports/*

Pokud chcete přidat nové oprávnění zástupných znaků, nemůžete ho přidat pomocí podokna Přidat oprávnění . Chcete-li přidat oprávnění pro zástupný znak, je nutné jej přidat ručně pomocí karty JSON . Další informace najdete v části Krok 6: JSON.

Vyloučit oprávnění

Pokud má vaše role zástupné * oprávnění () a chcete vyloučit nebo odečíst konkrétní oprávnění od těchto oprávnění, můžete je vyloučit. Řekněme například, že máte následující oprávnění zástupných znaků:

Microsoft.CostManagement/exports/*

Pokud nechcete povolit odstranění exportu, můžete vyloučit následující oprávnění odstranit:

Microsoft.CostManagement/exports/delete

Pokud oprávnění vyloučíte, přidá se jako NotActions nebo NotDataActions . Efektivní oprávnění pro správu jsou vypočítána přidáním všech Actions a poté odečtením všech NotActions . Platná oprávnění k datům jsou vypočítána přidáním všech DataActions a poté odečtením všech NotDataActions .

Poznámka

Vyloučení oprávnění není stejné jako odepřít. Vyloučení oprávnění je jednoduše pohodlný způsob, jak odečíst oprávnění od oprávnění zástupných znaků.

  1. Pokud chcete vyloučit nebo odečíst oprávnění od povoleného oprávnění zástupných znaků, klikněte na vyloučit oprávnění a otevřete podokno vyloučení oprávnění.

    V tomto podokně zadáte oprávnění pro správu nebo data, která jsou vyloučena nebo odečtena.

  2. Po nalezení jednoho nebo více oprávnění, která chcete vyloučit, přidejte u oprávnění zaškrtnutí a pak klikněte na tlačítko Přidat .

    Podokno vyloučení oprávnění – vybrané oprávnění

    Oprávnění se přidá jako NotActions nebo NotDataActions .

    Vyloučená oprávnění

Krok 5: přiřazení oborů

Na kartě přiřadit obory určete, kde má být vaše vlastní role k dispozici pro přiřazení, jako je například předplatné nebo skupina prostředků. V závislosti na tom, jak se rozhodnete začít, může tato karta obsahovat seznam rozsahů, ve kterých jste otevřeli stránku řízení přístupu (IAM). Nastavení přiřaditelné oboru ke kořenovému oboru ("/") není podporováno. V současné době nemůžete přidat skupinu pro správu jako přiřazovatelné obory.

  1. Kliknutím na Přidat přidružitelné obory otevřete podokno přidat přiřazovatelné obory.

    Karta přiřadit obory

  2. Klikněte na jeden nebo víc oborů, které chcete použít, obvykle v rámci vašeho předplatného.

    Přidat obory, které lze přiřadit

  3. Kliknutím na tlačítko Přidat přidáte svůj přidružitelné obor.

Krok 6: JSON

Na kartě JSON uvidíte vlastní roli formátovanou ve formátu JSON. Pokud chcete, můžete JSON přímo upravit. Chcete-li přidat oprávnění zástupného znaku ( * ), je nutné použít tuto kartu.

  1. Pokud chcete kód JSON upravit, klikněte na Upravit.

    Karta JSON zobrazující vlastní roli

  2. Proveďte změny ve formátu JSON.

    Pokud formát JSON není správně naformátovaný, zobrazí se červená zubatá čára a indikátor na svislém hřbetu.

  3. Po dokončení úprav klikněte na Uložit.

Krok 7: Kontrola a vytvoření

Na kartě Revize + vytvořit můžete zkontrolovat vlastní nastavení role.

  1. Zkontrolujte vlastní nastavení role.

    Revize + vytvořit kartu

  2. Kliknutím na vytvořit vytvořte vlastní roli.

    Po chvíli se zobrazí okno se zprávou oznamující, že vaše vlastní role se úspěšně vytvořila.

    Vytvořit vlastní zprávu role

    Pokud jsou zjištěny nějaké chyby, zobrazí se zpráva.

    Zkontrolovat + vytvořit chybu

  3. Zobrazení nové vlastní role v seznamu rolí . Pokud nevidíte svoji vlastní roli, klikněte na aktualizovat.

    Může to trvat několik minut, než se vaše vlastní role zobrazí všude.

Výpis vlastních rolí

Pomocí těchto kroků můžete zobrazit vlastní role.

  1. Otevřete předplatné nebo skupinu prostředků a pak otevřete řízení přístupu (IAM).

  2. Kliknutím na kartu role zobrazíte seznam všech předdefinovaných a vlastních rolí.

  3. V seznamu typ vyberte CustomRole , aby se zobrazily pouze vaše vlastní role.

    Pokud jste právě vytvořili vlastní roli a v seznamu ji nevidíte, klikněte na aktualizovat.

    Vlastní seznam rolí

Aktualizace vlastní role

  1. Jak je popsáno výše v tomto článku, otevřete seznam vlastních rolí.

  2. Klikněte na tlačítko se třemi tečkami (...) pro vlastní roli, kterou chcete aktualizovat, a pak klikněte na Upravit. Všimněte si, že nemůžete aktualizovat předdefinované role.

    Vlastní role se otevře v editoru.

    Nabídka vlastní role

  3. K aktualizaci vlastní role použijte různé karty.

  4. Až změny dokončíte, klikněte na kartu Revize + vytvořit a Prohlédněte si změny.

  5. Kliknutím na tlačítko aktualizovat aktualizujte svou vlastní roli.

Odstranění vlastní role

  1. Jak je popsáno výše v tomto článku, otevřete seznam vlastních rolí.

  2. Odeberte všechna přiřazení rolí, která používají vlastní roli.

  3. Klikněte na tlačítko se třemi tečkami (...) pro vlastní roli, kterou chcete odstranit, a pak klikněte na Odstranit.

    Snímek obrazovky zobrazující seznam vlastních rolí, které se dají vybrat k odstranění

    Zcela odstranění vlastní role může trvat několik minut.

Další kroky