Správa vlastních rolí Azure
V této lekci se dozvíte, kdo může spravovat vlastní role Azure a jak.
Kdo může spravovat vlastní role?
Obecně platí, že správci s rolí Vlastník nebo Uživatelský přístup Správa istrator mají oprávnění vytvářet a spravovat vlastní role. Ve výchozím nastavení mají Microsoft.Authorization/roleDefinitions/write tyto role oprávnění pro všechny obory přiřazení rolí. Toto oprávnění se vyžaduje k vytvoření, odstranění nebo aktualizaci vlastních rolí.
Obory přiřazení role jsou definovány v definici vlastní role v AssignableScopes. Jak je popsáno v lekci 2, assignableScopes může být jedno nebo více předplatných, skupin prostředků nebo prostředků.
Následující tabulka uvádí oprávnění, která potřebujete k vytvoření, odstranění, aktualizaci nebo zobrazení vlastních rolí. Pokud chcete spravovat vlastní role, musíte být přiřazeni k roli, která má související akce a přiřaditelnéscopes v definici role.
| Úkol | Akce | Popis |
|---|---|---|
| Vytvoření nebo odstranění | Microsoft.Authorization/roleDefinitions/write |
Uživatelé můžou vytvářet nebo odstraňovat vlastní role pro použití v oborech. Příklad: Vlastníci a uživatelský přístup Správa istrátory předplatných, skupin prostředků a prostředků. |
| Aktualizace | Microsoft.Authorization/roleDefinitions/write |
Uživatelé mohou aktualizovat vlastní role v oborech. Příklad: Vlastníci a uživatelský přístup Správa istrátory předplatných, skupin prostředků a prostředků. |
| Zobrazení | Microsoft.Authorization/roleDefinitions/read |
Uživatelé můžou zobrazit vlastní role, které jsou k dispozici pro přiřazení v oboru. Všechny předdefinované role umožňují, aby byly pro přiřazení k dispozici vlastní role. |
Vytváření vlastních rolí
V předchozí lekci jste vytvořili vlastní roli pomocí Azure CLI. Vlastní roli můžete vytvořit také pomocí webu Azure Portal nebo Azure PowerShellu.
Vytvoření vlastních rolí pomocí webu Azure Portal
Na webu Azure Portal přejděte do předplatného nebo skupiny prostředků, do které chcete použít vlastní obor role, přejděte na Řízení přístupu (IAM) a vyberte Přidat>vlastní roli.
Můžete naklonovat existující roli nebo začít úplně od začátku.
V obou možnostech můžete upravit oprávnění, obory a výsledný json.
Vytvoření vlastní role pomocí Azure PowerShellu
Postup vytvoření role pomocí Azure PowerShellu je podobný tomu, co jsme probrali v předchozích dvou lekcích. Po definování vlastní role v souboru JSON pomocí následujícího příkazu v Azure CLI vytvořte vlastní roli:
az role definition create --role-definition vm-operator-role.json
Pokud chcete vytvořit roli v Azure PowerShellu, spusťte následující příkaz:
New-AzRoleDefinition -InputFile "vm-operator-role.json"
Aktualizace vlastních rolí
Pokud chcete aktualizovat vlastní roli, můžete použít Azure CLI nebo Azure PowerShell. V další lekci si projdete konkrétní kroky aktualizace vlastní definice role. ale obecně platí, že po aktualizaci souboru JSON pomocí změn spustíte jeden z následujících příkazů.
Pokud chcete aktualizovat vlastní roli pomocí Azure CLI, spusťte následující příkaz s cestou k souboru JSON, který obsahuje vaše aktualizace:
az role definition update --role-definition "<<path-to-json-file>>"
V Azure PowerShellu spusťte následující příkaz s cestou k aktualizovanému souboru JSON:
Set-AzRoleDefinition -InputFile "<<path-to-json-file>>"
Zobrazení vlastních rolí
V další lekci se dozvíte, jak zobrazit vlastní role na webu Azure Portal. Seznam vlastních rolí můžete získat také pomocí Azure CLI nebo PowerShellu.
Pokud chcete zobrazit seznam všech vlastních rolí pomocí Azure CLI, použijte následující příkaz:
az role definition list --custom-role-only true --output json | jq '.[] | {"roleName":.roleName, "roleType":.roleType}'
Všimněte si, že příkaz požaduje pouze název role a typ role. To usnadňuje zobrazení mnoha rolí.
Pokud chcete zobrazit seznam všech vlastních rolí pomocí Azure PowerShellu, použijte následující příkaz. Tento příkaz zobrazí seznam vlastních rolí, které jsou k dispozici pro přiřazení v předplatném. Pokud předplatné není v assignableScopes role, vlastní role se nezobrazí.
Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom
Zobrazení definice role
Pokud chcete zobrazit úplnou definici konkrétní role, použijte následující příkaz Azure CLI:
az role definition list --name "Virtual Machine Operator"
Pokud chcete zobrazit definici v PowerShellu, použijte následující příkaz:
Get-AzRoleDefinition "Virtual Machine Operator"
Výpis vlastního přiřazení role
Následující příkaz vám umožní zjistit, kdo je přiřazený k vlastní roli, kterou jste vytvořili v Azure CLI:
az role assignment list --role "Virtual Machine Operator"
Pro PowerShell použijte následující příkaz:
Get-AzRoleAssignment -RoleDefinitionName "Virtual Machine Operator"
Odstranění vlastních rolí
Pro cvičení v další lekci potřebujete vlastní roli, kterou jste vytvořili v předchozí lekci, takže vlastní roli ještě neodstraňovat. Nejprve si promluvme o tom, jak odstraníte vlastní roli.
Odebrat přiřazení role
Pokud se rozhodnete, že už vlastní roli nepotřebujete, musíte před odstraněním role odebrat přiřazení rolí.
Na webu Azure Portal můžete přiřazení odebrat tak, že přejdete do předplatného, skupiny prostředků nebo prostředku, na který se vztahuje obor vlastní role. Pak přejděte do řízení přístupu (IAM)>Přiřazení rolí. Vyfiltrujte podle názvu role, vyberte všechny uživatele přiřazené k této roli a vyberte Odebrat.
V Azure CLI použijte následující příkaz s názvem vlastní role:
az role assignment delete --role "role name"
V Azure PowerShellu použijte tuto rutinu Remove-AzRoleAssignment . Příkaz může vypadat přibližně takto:
Remove-AzRoleAssignment -ObjectId <object_id> -RoleDefinitionName "role name" -Scope /subscriptions/<subscription_id>
ObjectID je Microsoft Entra ObjectId uživatele, skupiny nebo instančního objektu.
Odstranění vlastní role
Vlastní roli můžete odstranit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.
Na webu Azure Portal přejděte do předplatného, skupiny prostředků nebo prostředku, na který se vztahuje obor vlastní role, a pak přejděte na Role řízení přístupu (IAM).> Pokud chcete najít roli, vyberte Typ>vlastní role.
Vyberte roli a pak vyberte Odebrat.
V další lekci pomocí následujícího příkazu odstraníte vlastní roli pomocí Azure CLI:
az role definition delete --name "role name"
V PowerShellu pomocí následujícího příkazu odstraňte roli:
Get-AzRoleDefinition "role name" | Remove-AzRoleDefinition