Vlastní role pro prostředky AzureCustom roles for Azure resources

Pokud předdefinované role pro prostředky Azure nesplňují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role.If the built-in roles for Azure resources don't meet the specific needs of your organization, you can create your own custom roles. Stejně jako předdefinované role můžete přiřadit vlastní role pro uživatele, skupiny nebo instanční objekty na předplatné, skupinu prostředků a prostředků obory.Just like built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes.

Vlastní role jsou uloženy v adresáři služby Azure Active Directory (Azure AD) a je možné sdílet napříč předplatnými.Custom roles are stored in an Azure Active Directory (Azure AD) directory and can be shared across subscriptions. Každý adresář můžete mít až do 5000 vlastní role.Each directory can have up to 5000 custom roles. (V případě specializovaných cloudů, jako je Azure Government, Azure Germany a Azure China 21Vianet, platí omezení 2 000 vlastních rolí.) Můžete vytvořit vlastní role pomocí Azure Powershellu, rozhraní příkazového řádku Azure nebo rozhraní REST API.(For specialized clouds, such as Azure Government, Azure Germany, and Azure China 21Vianet, the limit is 2000 custom roles.) Custom roles can be created using Azure PowerShell, Azure CLI, or the REST API.

Příklad vlastní roliCustom role example

Následuje ukázka, jak vlastní roli vypadá jako je zobrazena ve formátu JSON.The following shows what a custom role looks like as displayed in JSON format. Tuto vlastní roli je možné pro sledování a restartování virtuálních počítačů.This custom role can be used for monitoring and restarting virtual machines.

{
  "Name": "Virtual Machine Operator",
  "Id": "88888888-8888-8888-8888-888888888888",
  "IsCustom": true,
  "Description": "Can monitor and restart virtual machines.",
  "Actions": [
    "Microsoft.Storage/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Authorization/*/read",
    "Microsoft.ResourceHealth/availabilityStatuses/read",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Insights/alertRules/*",
    "Microsoft.Insights/diagnosticSettings/*",
    "Microsoft.Support/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}",
    "/subscriptions/{subscriptionId2}",
    "/subscriptions/{subscriptionId3}"
  ]
}

Když vytvoříte vlastní roli, se zobrazí na webu Azure Portal s ikona oranžové prostředků.When you create a custom role, it appears in the Azure portal with an orange resource icon.

Ikona vlastní role

Postup vytvoření vlastní roleSteps to create a custom role

  1. Rozhodnutí o způsobu vytvoření vlastní roleDecide how you want to create the custom role

    Můžete vytvořit vlastní role pomocí prostředí Azure PowerShell, rozhraní příkazového řádku Azure, nebo rozhraní REST API.You can create custom roles using Azure PowerShell, Azure CLI, or the REST API.

  2. Určit oprávnění, které potřebujeteDetermine the permissions you need

    Když vytvoříte vlastní roli, musíte znát prostředek operace poskytovatele, které je možné definovat oprávnění.When you create a custom role, you need to know the resource provider operations that are available to define your permissions. Chcete-li zobrazit seznam operací, najdete v článku operace poskytovatele prostředků Azure Resource Manageru.To view the list of operations, see the Azure Resource Manager resource provider operations. Operace, které přidáte Actions nebo NotActions vlastnosti definice role.You will add the operations to the Actions or NotActions properties of the role definition. Pokud máte operace s daty, které přidáte do DataActions nebo NotDataActions vlastnosti.If you have data operations, you will add those to the DataActions or NotDataActions properties.

  3. Vytvořit vlastní roliCreate the custom role

    Obvykle začněte s existující předdefinovanou roli a upravit ji pro vaše potřeby.Typically, you start with an existing built-in role and then modify it for your needs. Použít New-AzRoleDefinition nebo az role definition vytvořit příkazy k vytvoření vlastní role.Then you use the New-AzRoleDefinition or az role definition create commands to create the custom role. Chcete-li vytvořit vlastní roli, musíte mít Microsoft.Authorization/roleDefinitions/write oprávnění ve všech AssignableScopes, jako například vlastníka nebo správce uživatelských přístupů.To create a custom role, you must have the Microsoft.Authorization/roleDefinitions/write permission on all AssignableScopes, such as Owner or User Access Administrator.

  4. Testování vlastní roliTest the custom role

    Jakmile budete mít vlastní roli, musíte otestovat a ověřit, že funguje podle očekávání.Once you have your custom role, you have to test it to verify that it works as you expect. Pokud je potřeba provést úpravy později, můžete aktualizovat vlastní roli.If you need to make adjustments later, you can update the custom role.

Podrobný kurz o tom, jak vytvořit vlastní roli, najdete v tématu kurzu: Vytvoření vlastní role pomocí prostředí Azure PowerShell nebo kurzu: Vytvoření vlastní role pomocí Azure CLI.For a step-by-step tutorial on how to create a custom role, see Tutorial: Create a custom role using Azure PowerShell or Tutorial: Create a custom role using Azure CLI.

Vlastnosti vlastní roleCustom role properties

Vlastní role má následující vlastnosti.A custom role has the following properties.

VlastnostProperty Požaduje seRequired TypType PopisDescription
Name AnoYes StringString Zobrazovaný název vlastní role.The display name of the custom role. Definice role je prostředek úrovni předplatného, definice role je možné v rámci více předplatných, které sdílejí stejný adresář Azure AD.While a role definition is a subscription-level resource, a role definition can be used in multiple subscriptions that share the same Azure AD directory. Toto zobrazované jméno musí být jedinečný v oboru v adresáři Azure AD.This display name must be unique at the scope of the Azure AD directory. Může obsahovat písmena, číslice, mezery a speciální znaky.Can include letters, numbers, spaces, and special characters. Maximální počet znaků je 128.Maximum number of characters is 128.
Id AnoYes StringString Jedinečné ID vlastní roli.The unique ID of the custom role. Pro prostředí Azure PowerShell a rozhraní příkazového řádku Azure je toto ID automaticky vygeneruje při vytvoření nové role.For Azure PowerShell and Azure CLI, this ID is automatically generated when you create a new role.
IsCustom AnoYes StringString Označuje, zda se jedná o vlastní roli.Indicates whether this is a custom role. Nastavte na true pro vlastní role.Set to true for custom roles.
Description AnoYes StringString Popis vlastní role.The description of the custom role. Může obsahovat písmena, číslice, mezery a speciální znaky.Can include letters, numbers, spaces, and special characters. Maximální počet znaků je 1024.Maximum number of characters is 1024.
Actions AnoYes Řetězec]String[] Pole řetězců, která určuje, které role umožňuje provádět operace správy.An array of strings that specifies the management operations that the role allows to be performed. Další informace najdete v tématu akce.For more information, see Actions.
NotActions NeNo Řetězec]String[] Pole řetězců, které určuje operace správy, které jsou vyloučené z povolených Actions.An array of strings that specifies the management operations that are excluded from the allowed Actions. Další informace najdete v tématu NotActions.For more information, see NotActions.
DataActions NeNo Řetězec]String[] Pole řetězců, který určuje datové operace, které povoluje roli mají být provedeny ke svým datům v rámci daného objektu.An array of strings that specifies the data operations that the role allows to be performed to your data within that object. Další informace najdete v tématu DataActions.For more information, see DataActions.
NotDataActions NeNo Řetězec]String[] Pole řetězců, které určuje datové operace, které jsou vyloučené z povolených DataActions.An array of strings that specifies the data operations that are excluded from the allowed DataActions. Další informace najdete v tématu NotDataActions.For more information, see NotDataActions.
AssignableScopes AnoYes Řetězec]String[] Pole řetězců, která určuje, že je k dispozici pro přiřazení vlastní role obory.An array of strings that specifies the scopes that the custom role is available for assignment. Pro vlastní role, aktuálně nelze nastavit AssignableScopes na kořenového oboru ("/") nebo obor skupiny správy.For custom roles, you currently cannot set AssignableScopes to the root scope ("/") or a management group scope. Další informace najdete v tématu AssignableScopes a uspořádání prostředků se skupinami pro správu Azure.For more information, see AssignableScopes and Organize your resources with Azure management groups.

Kdo může vytvořit, odstranit, aktualizovat nebo zobrazit vlastní roliWho can create, delete, update, or view a custom role

Předdefinované role, stejně jako AssignableScopes vlastnost určuje, že je k dispozici pro přiřazení role obory.Just like built-in roles, the AssignableScopes property specifies the scopes that the role is available for assignment. AssignableScopes Také určuje vlastnost, pro vlastní roli, můžete vytvořit, odstranit, aktualizovat nebo zobrazit vlastní roli.The AssignableScopes property for a custom role also controls who can create, delete, update, or view the custom role.

ÚkolTask OperaceOperation PopisDescription
Vytvořit/odstranit vlastní roliCreate/delete a custom role Microsoft.Authorization/ roleDefinitions/write Uživatelé, kteří jsou udělena tato operace na všech AssignableScopes vlastní role můžete vytvořit (nebo odstranění) vlastních rolí pro použití v těchto oborech.Users that are granted this operation on all the AssignableScopes of the custom role can create (or delete) custom roles for use in those scopes. Například vlastníky a správci přístupu uživatelů předplatná, skupiny prostředků a prostředků.For example, Owners and User Access Administrators of subscriptions, resource groups, and resources.
Aktualizace vlastní roleUpdate a custom role Microsoft.Authorization/ roleDefinitions/write Uživatelé, kteří jsou udělena tato operace na všech AssignableScopes vlastní role můžete aktualizovat vlastní role v těchto oborech.Users that are granted this operation on all the AssignableScopes of the custom role can update custom roles in those scopes. Například vlastníky a správci přístupu uživatelů předplatná, skupiny prostředků a prostředků.For example, Owners and User Access Administrators of subscriptions, resource groups, and resources.
Zobrazit vlastní roliView a custom role Microsoft.Authorization/ roleDefinitions/read Uživatelé, kteří jsou udělena tato operace v oboru můžete zobrazit vlastní role, které jsou k dispozici pro přiřazení v daném oboru.Users that are granted this operation at a scope can view the custom roles that are available for assignment at that scope. Všechny vestavěné role povolit být k dispozici pro přiřazení vlastní role.All built-in roles allow custom roles to be available for assignment.

Další postupNext steps