Benutzerdefinierte Rollen für Azure-RessourcenCustom roles for Azure resources

Wenn die integrierten Rollen für Azure-Ressourcen den Ansprüchen Ihrer Organisation nicht entsprechen, können Sie Ihre eigenen benutzerdefinierten Rollen erstellen.If the built-in roles for Azure resources don't meet the specific needs of your organization, you can create your own custom roles. Genau wie integrierte Rollen können auch benutzerdefinierte Rollen Benutzern, Gruppen und Dienstprinzipalen auf Abonnement-, Ressourcengruppen- und Ressourcenebene zugewiesen werden.Just like built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes. Benutzerdefinierte Rollen werden in einem Azure AD-Verzeichnis (Azure Active Directory) gespeichert und können für mehrere Abonnements genutzt werden.Custom roles are stored in an Azure Active Directory (Azure AD) directory and can be shared across subscriptions. Jedes Verzeichnis kann bis zu 2.000 benutzerdefinierte Rollen enthalten.Each directory can have up to 2000 custom roles. Benutzerdefinierte Rollen können mit Azure PowerShell, der Azure CLI oder der REST-API erstellt werden.Custom roles can be created using Azure PowerShell, Azure CLI, or the REST API.

Beispiel einer benutzerdefinierten RolleCustom role example

Das folgende Beispiel zeigt, wie eine benutzerdefinierte Rolle im JSON-Format angezeigt aussieht.The following shows what a custom role looks like as displayed in JSON format. Diese benutzerdefinierte Rolle kann zum Überwachen und Neustarten virtueller Computer verwendet werden.This custom role can be used for monitoring and restarting virtual machines.

{
  "Name": "Virtual Machine Operator",
  "Id": "88888888-8888-8888-8888-888888888888",
  "IsCustom": true,
  "Description": "Can monitor and restart virtual machines.",
  "Actions": [
    "Microsoft.Storage/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Authorization/*/read",
    "Microsoft.ResourceHealth/availabilityStatuses/read",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Insights/alertRules/*",
    "Microsoft.Insights/diagnosticSettings/*",
    "Microsoft.Support/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}",
    "/subscriptions/{subscriptionId2}",
    "/subscriptions/{subscriptionId3}"
  ]
}

Wenn Sie eine benutzerdefinierte Rolle erstellt haben, wird sie im Azure-Portal mit einem orangefarbenen Ressourcensymbol angezeigt.When you create a custom role, it appears in the Azure portal with an orange resource icon.

Symbol der benutzerdefinierten Rolle

Schritte zum Erstellen einer benutzerdefinierten RolleSteps to create a custom role

  1. Entscheiden Sie, wie Sie die benutzerdefinierte Rolle erstellen möchten.Decide how you want to create the custom role

    Benutzerdefinierte Rollen können mit Azure PowerShell, der Azure CLI oder der REST-API erstellt werden.You can create custom roles using Azure PowerShell, Azure CLI, or the REST API.

  2. Bestimmen der Berechtigungen, die Sie benötigenDetermine the permissions you need

    Wenn Sie eine benutzerdefinierte Rolle erstellen, müssen Sie die Ressourcenanbietervorgänge kennen, die zum Definieren der Berechtigungen verfügbar sind.When you create a custom role, you need to know the resource provider operations that are available to define your permissions. Wie Sie die Liste der Vorgänge anzeigen, erfahren Sie unter Vorgänge für Azure Resource Manager-Ressourcenanbieter.To view the list of operations, see the Azure Resource Manager resource provider operations. Sie fügen die Vorgänge der Actions- oder NotActions-Eigenschaft der Rollendefinition hinzu.You will add the operations to the Actions or NotActions properties of the role definition. Wenn Sie über Datenvorgänge verfügen, fügen Sie diese der DataActions- oder NotDataActions-Eigenschaft hinzu.If you have data operations, you will add those to the DataActions or NotDataActions properties.

  3. Erstellen der benutzerdefinierten RolleCreate the custom role

    In der Regel beginnen Sie mit einer vorhandenen integrierten Rolle und ändern sie Ihren Anforderungen entsprechend.Typically, you start with an existing built-in role and then modify it for your needs. Dann erstellen Sie die benutzerdefinierte Rolle mit dem Befehl New-AzRoleDefinition oder az role definition create.Then you use the New-AzRoleDefinition or az role definition create commands to create the custom role. Um eine benutzerdefinierte Rolle zu erstellen, benötigen Sie die Microsoft.Authorization/roleDefinitions/write-Berechtigung für alle AssignableScopes, wie z.B. Besitzer oder Benutzerzugriffsadministrator.To create a custom role, you must have the Microsoft.Authorization/roleDefinitions/write permission on all AssignableScopes, such as Owner or User Access Administrator.

  4. Testen der benutzerdefinierten RolleTest the custom role

    Sobald Sie über Ihre benutzerdefinierte Rolle verfügen, müssen Sie sie testen, um sicherzustellen, dass sie wie erwartet funktioniert.Once you have your custom role, you have to test it to verify that it works as you expect. Wenn Sie später Anpassungen vornehmen müssen, können Sie die benutzerdefinierte Rolle aktualisieren.If you need to make adjustments later, you can update the custom role.

Ein ausführliches Tutorial zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Tutorial: Erstellen einer benutzerdefinierten Rolle mithilfe von Azure PowerShell oder Tutorial: Erstellen einer benutzerdefinierten Rolle mithilfe der Azure CLI.For a step-by-step tutorial on how to create a custom role, see Tutorial: Create a custom role using Azure PowerShell or Tutorial: Create a custom role using Azure CLI.

Eigenschaften der benutzerdefinierten RolleCustom role properties

Eine benutzerdefinierte Rolle hat die folgenden Eigenschaften.A custom role has the following properties.

EigenschaftProperty ErforderlichRequired TypType BESCHREIBUNGDescription
Name JaYes ZeichenfolgeString Der Anzeigename der benutzerdefinierten Rolle.The display name of the custom role. Obwohl es sich bei einer Rollendefinition um eine Ressource auf Abonnementebene handelt, kann eine solche Definition dennoch in mehreren Abonnements verwendet werden, die dasselbe Azure AD-Verzeichnis gemeinsam nutzen.While a role definition is a subscription-level resource, a role definition can be used in multiple subscriptions that share the same Azure AD directory. Der Anzeigename muss im Bereich des Azure AD-Verzeichnisses eindeutig sein.This display name must be unique at the scope of the Azure AD directory. Er kann Buchstaben, Ziffern, Leerzeichen und Sonderzeichen enthalten.Can include letters, numbers, spaces, and special characters. Die maximale Anzahl von Zeichen ist 128.Maximum number of characters is 128.
Id JaYes ZeichenfolgeString Die eindeutige ID der benutzerdefinierten Rolle.The unique ID of the custom role. Für Azure PowerShell und Azure CLI wird diese ID automatisch generiert, wenn Sie eine neue Rolle erstellen.For Azure PowerShell and Azure CLI, this ID is automatically generated when you create a new role.
IsCustom JaYes ZeichenfolgeString Gibt an, ob dies eine benutzerdefinierte Rolle ist.Indicates whether this is a custom role. Legen Sie für benutzerdefinierte Rollen true fest.Set to true for custom roles.
Description JaYes ZeichenfolgeString Die Beschreibung der benutzerdefinierten Rolle.The description of the custom role. Er kann Buchstaben, Ziffern, Leerzeichen und Sonderzeichen enthalten.Can include letters, numbers, spaces, and special characters. Die maximale Anzahl von Zeichen ist 1.024.Maximum number of characters is 1024.
Actions JaYes String[]String[] Ein Array von Zeichenfolgen, das die Verwaltungsvorgänge angibt, deren Ausführung die Rolle zulässt.An array of strings that specifies the management operations that the role allows to be performed. Weitere Informationen finden Sie unter Aktionen.For more information, see Actions.
NotActions Nein No String[]String[] Ein Array von Zeichenfolgen, das die Verwaltungsvorgänge angibt, die von den zulässigen Actions ausgeschlossen sind.An array of strings that specifies the management operations that are excluded from the allowed Actions. Weitere Informationen finden Sie unter NotActions.For more information, see NotActions.
DataActions Nein No String[]String[] Ein Array von Zeichenfolgen, das die Datenvorgänge angibt, deren Ausführung für Ihre Daten innerhalb des Objekts die Rolle zulässt.An array of strings that specifies the data operations that the role allows to be performed to your data within that object. Weitere Informationen finden Sie unter DataActions (Vorschau).For more information, see DataActions (Preview).
NotDataActions Nein No String[]String[] Ein Array von Zeichenfolgen, das die Datenvorgänge angibt, die von den zulässigen DataActions ausgeschlossen sind.An array of strings that specifies the data operations that are excluded from the allowed DataActions. Weitere Informationen finden Sie unter NotDataActions (Vorschau).For more information, see NotDataActions (Preview).
AssignableScopes JaYes String[]String[] Ein Array von Zeichenfolgen, das die Bereiche angibt, in denen die benutzerdefinierte Rolle zur Zuweisung verfügbar ist.An array of strings that specifies the scopes that the custom role is available for assignment. Derzeit kann es nicht auf den Stammbereich ("/") oder eine Verwaltungsgruppenbereich festgelegt werden.Currently cannot be set to the root scope ("/") or a management group scope. Weitere Informationen finden Sie unter AssignableScopes und Organisieren von Ressourcen mit Azure-Verwaltungsgruppen.For more information, see AssignableScopes and Organize your resources with Azure management groups.

Rollen zum Erstellen, Löschen, Aktualisieren oder Anzeigen einer benutzerdefinierten RolleWho can create, delete, update, or view a custom role

Wie integrierte Rollen legt die AssignableScopes-Eigenschaft die Bereiche fest, in denen die Rolle zur Zuweisung verfügbar ist.Just like built-in roles, the AssignableScopes property specifies the scopes that the role is available for assignment. Die AssignableScopes-Eigenschaft für eine benutzerdefinierte Rolle steuert auch, wer zum Erstellen, Löschen, Aktualisieren oder Anzeigen der benutzerdefinierten Rolle berechtigt ist.The AssignableScopes property for a custom role also controls who can create, delete, update, or view the custom role.

AufgabeTask VorgangOperation BESCHREIBUNGDescription
Erstellen/Löschen einer benutzerdefinierten RolleCreate/delete a custom role Microsoft.Authorization/ roleDefinition/write Benutzer, die für alle AssignableScopes der benutzerdefinierten Rolle zu diesem Vorgang berechtigt sind, können benutzerdefinierte Rollen für die Verwendung in diesen Bereichen erstellen (oder löschen).Users that are granted this operation on all the AssignableScopes of the custom role can create (or delete) custom roles for use in those scopes. Hierzu zählen etwa Besitzer und Benutzerzugriffsadministratoren von Abonnements, Ressourcengruppen und Ressourcen.For example, Owners and User Access Administrators of subscriptions, resource groups, and resources.
Aktualisieren einer benutzerdefinierten RolleUpdate a custom role Microsoft.Authorization/ roleDefinition/write Benutzer, die für alle AssignableScopes der benutzerdefinierten Rolle zu diesem Vorgang berechtigt sind, können benutzerdefinierte Rollen in diesen Bereichen aktualisieren.Users that are granted this operation on all the AssignableScopes of the custom role can update custom roles in those scopes. Hierzu zählen etwa Besitzer und Benutzerzugriffsadministratoren von Abonnements, Ressourcengruppen und Ressourcen.For example, Owners and User Access Administrators of subscriptions, resource groups, and resources.
Anzeigen einer benutzerdefinierten RolleView a custom role Microsoft.Authorization/ roleDefinition/read Benutzer, die in einem Bereich zu diesem Vorgang berechtigt sind, können die benutzerdefinierten Rollen anzeigen, die für die Zuweisung in diesem Bereich verfügbar sind.Users that are granted this operation at a scope can view the custom roles that are available for assignment at that scope. Benutzerdefinierte Rollen können bei allen integrierten Rollen für die Zuweisung verfügbar sein.All built-in roles allow custom roles to be available for assignment.

Nächste SchritteNext steps