Szolgáltatásnév-szerepkörök kezelése
Az Azure-erőforrásokhoz való hozzáférés korlátozása érdekében egy szolgáltatásnév használatával kezelheti a szerepkör-hozzárendeléseket. Minden szerepkör különböző engedélyeket biztosít a felhasználó számára az Azure-erőforrások elérésekor. Az oktatóanyag ezen lépése bemutatja, hogyan hozhat létre és távolíthat el szolgáltatásnév-szerepköröket.
Az Azure CLI a következő parancsokkal kezeli a szerepkör-hozzárendeléseket:
Szerepkör-hozzárendelés létrehozása vagy eltávolítása
A közreműködői szerepkör teljes engedélyekkel rendelkezik az Azure-fiók olvasásához és írásához. Az Olvasó szerepkör korlátozottabb az írásvédett hozzáféréssel. Mindig a minimális jogosultság elvét használja. Az Azure RBAC-ben elérhető szerepkörök teljes listáját az Azure beépített szerepkörei között találja.
A szerepkör hozzáadása nem korlátozza az előzetesen hozzárendelt engedélyeket. Ez a példa hozzáadja az Olvasó szerepkört, és eltávolítja a Közreműködő szerepkört:
az role assignment create --assignee myServicePrincipalID \
--role Reader \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
az role assignment delete --assignee myServicePrincipalID \
--role Contributor \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
Kimeneti konzol:
{
"condition": null,
"conditionVersion": null,
"createdBy": null,
"createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
"delegatedManagedIdentityResourceId": null,
"description": null,
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
"name": "00000000-0000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-0000-000000000000",
"principalType": "ServicePrincipal",
"roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
"type": "Microsoft.Authorization/roleAssignments",
"updatedBy": "00000000-0000-0000-0000-000000000000",
"updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}
A hatókörparaméter értékének lekérése
Az egyik kérdés lehet, hogy "Hogyan ismeri a --scope paraméter értékét?" A válasz az, hogy megkeresi és másolja annak az Azure-erőforrásnak az erőforrás-azonosítóját, amelyhez a szolgáltatásnévnek hozzá kell férnie. Ezek az információk általában az Egyes erőforrások Azure Portal tulajdonságok vagy végpontok lapján találhatók. Íme néhány gyakori --scope példa, de az erőforrás-azonosítóra támaszkodhat egy tényleges formátumra és értékre.
| Scope | Example |
|---|---|
| Előfizetés | /subscriptions/mySubscriptionID |
| Erőforráscsoport | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName |
| Virtual machine | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Compute/virtualMachines/myVMname |
| Tárfiókfájl-szolgáltatás | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Storage/storageAccounts/myStorageAccountName/fileServices/default |
| Data Factory | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.DataFactory/factories/myDataFactoryName |
További hatókör-példákért tekintse meg az Azure RBAC hatókörének ismertetése című témakört.
Módosítások ellenőrzése
A módosítások a hozzárendelt szerepkörök listázásával ellenőrizhetők:
# list all role assignments for the current subscription
az role assignment list ---output table
# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com
# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID
Az Azure Portalra is beléphet, és manuálisan rendelheti hozzá a szerepkört a szolgáltatásnévhez a Hozzáférés-vezérlés (IAM) menüből. A szerepkör-hozzárendelések felsorolására vonatkozó további példákért tekintse meg az Azure-szerepkör-hozzárendelések Listázása az Azure CLI használatával című témakört.
Következő lépések
Most, hogy megismerte a szolgáltatásnév-szerepkörök kezelését, folytassa a következő lépéssel, és ismerje meg, hogyan hozhat létre erőforrást szolgáltatásnevek használatával.