Ruoli personalizzati per le risorse di AzureCustom roles for Azure resources

Se i ruoli predefiniti per le risorse di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati.If the built-in roles for Azure resources don't meet the specific needs of your organization, you can create your own custom roles. Analogamente ai ruoli predefiniti, è possibile assegnare i ruoli personalizzati a utenti, gruppi ed entità servizio nell'ambito della sottoscrizione, del gruppo di risorse e della risorsa.Just like built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes.

I ruoli personalizzati possono essere condivisi tra sottoscrizioni che considerano attendibile la stessa directory Azure AD.Custom roles can be shared between subscriptions that trust the same Azure AD directory. È previsto un limite di 5.000 ruoli personalizzati per ogni directory.There is a limit of 5,000 custom roles per directory. Per i cloud specializzati, ad esempio Azure per enti pubblici, Azure Germania e Azure Cina 21Vianet, il limite è 2.000 ruoli personalizzati. I ruoli personalizzati possono essere creati usando Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.(For specialized clouds, such as Azure Government, Azure Germany, and Azure China 21Vianet, the limit is 2,000 custom roles.) Custom roles can be created using Azure PowerShell, Azure CLI, or the REST API.

Esempio di ruolo personalizzatoCustom role example

Di seguito è riportato come viene visualizzato un ruolo personalizzato in formato JSON.The following shows what a custom role looks like as displayed in JSON format. Questo ruolo personalizzato può essere usato per il monitoraggio e il riavvio di macchine virtuali.This custom role can be used for monitoring and restarting virtual machines.

{
  "Name": "Virtual Machine Operator",
  "Id": "88888888-8888-8888-8888-888888888888",
  "IsCustom": true,
  "Description": "Can monitor and restart virtual machines.",
  "Actions": [
    "Microsoft.Storage/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Authorization/*/read",
    "Microsoft.ResourceHealth/availabilityStatuses/read",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Insights/alertRules/*",
    "Microsoft.Insights/diagnosticSettings/*",
    "Microsoft.Support/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}",
    "/subscriptions/{subscriptionId2}",
    "/subscriptions/{subscriptionId3}"
  ]
}

Al termine della creazione, il ruolo personalizzato viene visualizzato nel portale di Azure con un'icona di risorsa arancione.When you create a custom role, it appears in the Azure portal with an orange resource icon.

Icona del ruolo personalizzato

Passaggi per la creazione di un ruolo personalizzatoSteps to create a custom role

  1. Decidere come si vuole creare il ruolo personalizzatoDecide how you want to create the custom role

    È possibile creare ruoli personalizzati usando Azure PowerShell, l'interfaccia della riga di comando di Azureo l' API REST.You can create custom roles using Azure PowerShell, Azure CLI, or the REST API.

  2. Determinare le autorizzazioni necessarieDetermine the permissions you need

    Quando si crea un ruolo personalizzato, occorre conoscere le operazioni del provider di risorse disponibili per definire le autorizzazioni.When you create a custom role, you need to know the resource provider operations that are available to define your permissions. Per visualizzare l'elenco delle operazioni, vedere il Azure Resource Manager operazioni del provider di risorse.To view the list of operations, see the Azure Resource Manager resource provider operations. Le operazioni vengono aggiunte alla Actions o NotActions proprietà della definizione di ruolo.You will add the operations to the Actions or NotActions properties of the role definition. Se si dispone di operazioni sui dati, sarà necessario aggiungerle alle proprietà DataActions o NotDataActions.If you have data operations, you will add those to the DataActions or NotDataActions properties.

  3. Creare il ruolo personalizzatoCreate the custom role

    In genere si parte da un ruolo predefinito esistente e lo si modifica in base alle esigenze.Typically, you start with an existing built-in role and then modify it for your needs. Si usa quindi il comando New-AzRoleDefinition o az role definition create per creare il ruolo personalizzato.Then you use the New-AzRoleDefinition or az role definition create commands to create the custom role. Per creare un ruolo personalizzato, occorre avere l'autorizzazione Microsoft.Authorization/roleDefinitions/write su tutti i AssignableScopes, come Proprietario o Amministratore accessi utente.To create a custom role, you must have the Microsoft.Authorization/roleDefinitions/write permission on all AssignableScopes, such as Owner or User Access Administrator.

  4. Testare il ruolo personalizzatoTest the custom role

    Una volta creato il ruolo personalizzato, è necessario testarlo per verificare che funzioni nel modo previsto.Once you have your custom role, you have to test it to verify that it works as you expect. Se occorre apportare delle modifiche, è possibile aggiornare il ruolo personalizzato.If you need to make adjustments later, you can update the custom role.

Per un'esercitazione dettagliata su come creare un ruolo personalizzato, vedere Esercitazione: creare un ruolo personalizzato con Azure PowerShell o Esercitazione: creare un ruolo personalizzato con l'interfaccia della riga di comando di Azure.For a step-by-step tutorial on how to create a custom role, see Tutorial: Create a custom role using Azure PowerShell or Tutorial: Create a custom role using Azure CLI.

Proprietà del ruolo personalizzatoCustom role properties

Un ruolo personalizzato ha le proprietà descritte di seguito.A custom role has the following properties.

ProprietàProperty ObbligatoriaRequired TypeType DescriptionDescription
Name Yes StringaString Nome visualizzato del ruolo personalizzato.The display name of the custom role. Mentre una definizione di ruolo è una risorsa a livello di sottoscrizione, una definizione di ruolo può essere usata in più sottoscrizioni che condividono la stessa directory di Azure AD.While a role definition is a subscription-level resource, a role definition can be used in multiple subscriptions that share the same Azure AD directory. Il nome visualizzato deve essere univoco nell'ambito della directory di Azure AD.This display name must be unique at the scope of the Azure AD directory. Può includere lettere, numeri, spazi e caratteri speciali.Can include letters, numbers, spaces, and special characters. Il numero massimo di caratteri è 128.Maximum number of characters is 128.
Id Yes StringaString ID univoco del ruolo personalizzato.The unique ID of the custom role. Per Azure PowerShell e l'interfaccia della riga di comando di Azure questo ID viene generato automaticamente quando viene creato un nuovo ruolo.For Azure PowerShell and Azure CLI, this ID is automatically generated when you create a new role.
IsCustom Yes StringaString Indica se questo è un ruolo personalizzato.Indicates whether this is a custom role. Impostare su true per i ruoli personalizzati.Set to true for custom roles.
Description Yes StringaString Descrizione del ruolo personalizzato.The description of the custom role. Può includere lettere, numeri, spazi e caratteri speciali.Can include letters, numbers, spaces, and special characters. Il numero massimo di caratteri è 1024.Maximum number of characters is 1024.
Actions Yes String[]String[] Matrice di stringhe che specifica le operazioni di gestione che il ruolo consente di eseguire.An array of strings that specifies the management operations that the role allows to be performed. Per altre informazioni, vedere Azioni.For more information, see Actions.
NotActions NoNo String[]String[] Matrice di stringhe che specifica le operazioni di gestione che sono escluse dalle Actions consentite.An array of strings that specifies the management operations that are excluded from the allowed Actions. Per altre informazioni, vedere notActions.For more information, see NotActions.
DataActions NoNo String[]String[] Matrice di stringhe che specifica le operazioni sui dati che il ruolo consente di eseguire sui dati all'interno dell'oggetto.An array of strings that specifies the data operations that the role allows to be performed to your data within that object. Per ulteriori informazioni, vedere Dataactions.For more information, see DataActions.
NotDataActions NoNo String[]String[] Matrice di stringhe che specifica le operazioni sui dati che sono escluse dalle DataActions consentite.An array of strings that specifies the data operations that are excluded from the allowed DataActions. Per ulteriori informazioni, vedere NotDataActions.For more information, see NotDataActions.
AssignableScopes Yes String[]String[] Matrice di stringhe che specifica gli ambiti in cui il ruolo personalizzato può essere assegnato.An array of strings that specifies the scopes that the custom role is available for assignment. Per i ruoli personalizzati, attualmente non è possibile impostare AssignableScopes sull'ambito radice ("/") o su un ambito del gruppo di gestione.For custom roles, you currently cannot set AssignableScopes to the root scope ("/") or a management group scope. Per altre informazioni, vedere AssignableScopes e Organizzare le risorse con i gruppi di gestione di Azure.For more information, see AssignableScopes and Organize your resources with Azure management groups.

Chi può creare, eliminare, aggiornare o visualizzare un ruolo personalizzatoWho can create, delete, update, or view a custom role

Come per i ruoli predefiniti, la proprietà AssignableScopes specifica gli ambiti in cui il ruolo personalizzato può essere assegnato.Just like built-in roles, the AssignableScopes property specifies the scopes that the role is available for assignment. La proprietà AssignableScopes per un ruolo personalizzato controlla anche chi può creare, eliminare, aggiornare o visualizzare il ruolo personalizzato.The AssignableScopes property for a custom role also controls who can create, delete, update, or view the custom role.

AttivitàTask OperazioneOperation DescriptionDescription
Creare o eliminare un ruolo personalizzatoCreate/delete a custom role Microsoft.Authorization/ roleDefinitions/write Gli utenti a cui viene concessa questa operazione su tutti gli ambiti AssignableScopes del ruolo personalizzato possono creare (o eliminare) ruoli personalizzati da usare in tali ambiti.Users that are granted this operation on all the AssignableScopes of the custom role can create (or delete) custom roles for use in those scopes. Ad esempio, i ruoli Proprietario e Amministratore Accesso utenti di sottoscrizioni, gruppi di risorse e risorse.For example, Owners and User Access Administrators of subscriptions, resource groups, and resources.
Aggiornare un ruolo personalizzatoUpdate a custom role Microsoft.Authorization/ roleDefinitions/write Gli utenti a cui viene concessa questa autorizzazione su tutti gli ambiti AssignableScopes del ruolo personalizzato possono aggiornare i ruoli personalizzati in tali ambiti.Users that are granted this operation on all the AssignableScopes of the custom role can update custom roles in those scopes. Ad esempio, i ruoli Proprietario e Amministratore Accesso utenti di sottoscrizioni, gruppi di risorse e risorse.For example, Owners and User Access Administrators of subscriptions, resource groups, and resources.
Visualizzare un ruolo personalizzatoView a custom role Microsoft.Authorization/ roleDefinitions/read Gli utenti a cui viene concessa questa operazione a livello di ambito possono visualizzare i ruoli personalizzati disponibili per l'assegnazione in tale ambito.Users that are granted this operation at a scope can view the custom roles that are available for assignment at that scope. Tutti i ruoli predefiniti consentono la disponibilità dei ruoli personalizzati per l'assegnazione.All built-in roles allow custom roles to be available for assignment.

Passaggi successiviNext steps