Zelfstudie: Toegang tot Azure-resources verlenen aan een groep met behulp van RBAC en Azure PowerShellTutorial: Grant a group access to Azure resources using RBAC and Azure PowerShell

Op rollen gebaseerd toegangsbeheer (RBAC) is de manier waarop u de toegang tot Azure-resources beheert.Role-based access control (RBAC) is the way that you manage access to Azure resources. In deze zelfstudie geeft u een groep toestemming om alles in een abonnement te bekijken en om alles in een resourcegroep te beheren met Azure PowerShell.In this tutorial, you grant a group access to view everything in a subscription and manage everything in a resource group using Azure PowerShell.

In deze zelfstudie leert u het volgende:In this tutorial, you learn how to:

  • Een groep op verschillende niveaus toegang gevenGrant access for a group at different scopes
  • Toegang opvragenList access
  • Toegang intrekkenRemove access

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.If you don't have an Azure subscription, create a free account before you begin.

Notitie

Dit artikel is bijgewerkt voor het gebruik van de nieuwe Azure PowerShell Az-module.This article has been updated to use the new Azure PowerShell Az module. De AzureRM-module kan nog worden gebruikt en krijgt bugoplossingen tot ten minste december 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Zie voor meer informatie over de nieuwe Az-module en compatibiliteit met AzureRM Introductie van de nieuwe Az-module van Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Raadpleeg Azure PowerShell installeren voor instructies over de installatie van de Az-module.For Az module installation instructions, see Install Azure PowerShell.

VereistenPrerequisites

Voor het voltooien van deze zelfstudie hebt u het volgende nodig:To complete this tutorial, you will need:

  • Toestemming om groepen te maken in Azure Active Directory (of beschikken over een bestaande groep)Permissions to create groups in Azure Active Directory (or have an existing group)
  • Azure Cloud ShellAzure Cloud Shell

RoltoewijzingenRole assignments

In RBAC verleent u toegang door een roltoewijzing te maken.In RBAC, to grant access, you create a role assignment. Een roltoewijzing bestaat uit drie elementen: beveiligings-principal, roldefinitie en bereik (ook wel scope of niveau genoemd).A role assignment consists of three elements: security principal, role definition, and scope. Dit zijn de twee roltoewijzingen die u gaat uitvoeren in deze zelfstudie:Here are the two role assignments you will perform in this tutorial:

Beveiligings-principalSecurity principal RoldefinitieRole definition BereikScope
GroepGroup
(RBAC Tutorial Group)(RBAC Tutorial Group)
LezerReader AbonnementSubscription
GroepGroup
(RBAC Tutorial Group)(RBAC Tutorial Group)
InzenderContributor ResourcegroepResource group
(rbac-tutorial-resource-group)(rbac-tutorial-resource-group)

Roltoewijzingen voor een groep

Een groep makenCreate a group

Als u een rol wilt toewijzen, hebt u een gebruiker, groep of service-principal nodig.To assign a role, you need a user, group, or service principal. Als u nog geen groep hebt, kunt u er een maken.If you don't already have a group, you can create one.

  • In Azure Cloud shell maakt u een nieuwe groep met de opdracht New-AzureADGroup.In Azure Cloud Shell, create a new group using the New-AzureADGroup command.

    New-AzureADGroup -DisplayName "RBAC Tutorial Group" `
       -MailEnabled $false -SecurityEnabled $true -MailNickName "NotSet"
    
    ObjectId                             DisplayName         Description
    --------                             -----------         -----------
    11111111-1111-1111-1111-111111111111 RBAC Tutorial Group
    

Als u geen machtigingen hebt voor het maken van groepen, kunt u in plaats daarvan de Zelfstudie: Toegang tot Azure-resources verlenen aan een gebruiker met behulp van RBAC en Azure PowerShell.If you don't have permissions to create groups, you can try the Tutorial: Grant a user access to Azure resources using RBAC and Azure PowerShell instead.

Een resourcegroep makenCreate a resource group

U gaat een resourcegroep maken om te laten zien hoe u een rol kunt toewijzen op het niveau van een resourcegroep.You use a resource group to show how to assign a role at a resource group scope.

  1. Vraag een lijst met regiolocaties op met behulp van de opdracht Get-AzLocation.Get a list of region locations using the Get-AzLocation command.

    Get-AzLocation | select Location
    
  2. Selecteer een locatie bij u in de buurt en wijs deze toe aan een variabele.Select a location near you and assign it to a variable.

    $location = "westus"
    
  3. Maak een nieuwe resourcegroep met de opdracht New-AzResourceGroup.Create a new resource group using the New-AzResourceGroup command.

    New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location
    
    ResourceGroupName : rbac-tutorial-resource-group
    Location          : westus
    ProvisioningState : Succeeded
    Tags              :
    ResourceId        : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
    

Toegang verlenenGrant access

U verleent toegang aan een groep door met de opdracht New-AzRoleAssignment een rol toe te wijzen.To grant access for the group, you use the New-AzRoleAssignment command to assign a role. U moet hierbij de beveiligings-principal, de roldefinitie en het bereik opgeven.You must specify the security principal, role definition, and scope.

  1. Haal de object-id van de groep op met de opdracht Get-AzureADGroup.Get the object ID of the group using the Get-AzureADGroup command.

    Get-AzureADGroup -SearchString "RBAC Tutorial Group"
    
    ObjectId                             DisplayName         Description
    --------                             -----------         -----------
    11111111-1111-1111-1111-111111111111 RBAC Tutorial Group
    
  2. Sla de object-id op in een variabele.Save the group object ID in a variable.

    $groupId = "11111111-1111-1111-1111-111111111111"
    
  3. Vraag de id van uw abonnement op met de opdracht Get-AzSubscription.Get the ID of your subscription using the Get-AzSubscription command.

    Get-AzSubscription
    
    Name     : Pay-As-You-Go
    Id       : 00000000-0000-0000-0000-000000000000
    TenantId : 22222222-2222-2222-2222-222222222222
    State    : Enabled
    
  4. Sla het abonnementsbereik op in een variabele.Save the subscription scope in a variable.

    $subScope = "/subscriptions/00000000-0000-0000-0000-000000000000"
    
  5. Wijs de rol Lezer toe aan de groep op abonnementsniveau.Assign the Reader role to the group at the subscription scope.

    New-AzRoleAssignment -ObjectId $groupId `
      -RoleDefinitionName "Reader" `
      -Scope $subScope
    
    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/44444444-4444-4444-4444-444444444444
    Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
    DisplayName        : RBAC Tutorial Group
    SignInName         :
    RoleDefinitionName : Reader
    RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
    ObjectId           : 11111111-1111-1111-1111-111111111111
    ObjectType         : Group
    CanDelegate        : False
    
  6. Wijs de rol Inzender toe aan de groep op het niveau van de resourcegroep.Assign the Contributor role to the group at the resource group scope.

    New-AzRoleAssignment -ObjectId $groupId `
      -RoleDefinitionName "Contributor" `
      -ResourceGroupName "rbac-tutorial-resource-group"
    
    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
    Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
    DisplayName        : RBAC Tutorial Group
    SignInName         :
    RoleDefinitionName : Contributor
    RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
    ObjectId           : 11111111-1111-1111-1111-111111111111
    ObjectType         : Group
    CanDelegate        : False
    

Toegang opvragenList access

  1. Om de toegang voor het abonnement te controleren, gebruikt u de opdracht Get-AzRoleAssignment om een lijst van de roltoewijzingen weer te geven.To verify the access for the subscription, use the Get-AzRoleAssignment command to list the role assignments.

    Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope
    
    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
    Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
    DisplayName        : RBAC Tutorial Group
    SignInName         :
    RoleDefinitionName : Reader
    RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
    ObjectId           : 11111111-1111-1111-1111-111111111111
    ObjectType         : Group
    CanDelegate        : False
    

    In de uitvoer ziet u dat de rol Lezer (Reader) op abonnementsniveau is toegewezen aan RBAC Tutorial Group.In the output, you can see that the Reader role has been assigned to the RBAC Tutorial Group at the subscription scope.

  2. Om de toegang voor de resourcegroep te controleren, gebruikt u de opdracht Get-AzRoleAssignment om een lijst van de roltoewijzingen weer te geven.To verify the access for the resource group, use the Get-AzRoleAssignment command to list the role assignments.

    Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"
    
    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
    Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
    DisplayName        : RBAC Tutorial Group
    SignInName         :
    RoleDefinitionName : Contributor
    RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
    ObjectId           : 11111111-1111-1111-1111-111111111111
    ObjectType         : Group
    CanDelegate        : False
    
    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
    Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
    DisplayName        : RBAC Tutorial Group
    SignInName         :
    RoleDefinitionName : Reader
    RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
    ObjectId           : 11111111-1111-1111-1111-111111111111
    ObjectType         : Group
    CanDelegate        : False
    

    In de uitvoer ziet u dat zowel de rol Inzender (Contributor) als Lezer (Reader) is toegewezen aan RBAC Tutorial Group.In the output, you can see that both the Contributor and Reader roles have been assigned to the RBAC Tutorial Group. De rol Inzender is toegewezen aan de resourcegroep rbac-tutorial-resource-group en de rol Lezer wordt overgenomen op abonnementsniveau.The Contributor role is at the rbac-tutorial-resource-group scope and the Reader role is inherited at the subscription scope.

(Optioneel) Toegang opvragen via Azure Portal(Optional) List access using the Azure Portal

  1. Als u de roltoewijzingen wilt bekijken in Azure Portal, gaat u naar de blade Toegangsbeheer (IAM) voor het abonnement.To see how the role assignments look in the Azure portal, view the Access control (IAM) blade for the subscription.

    Roltoewijzingen voor een groep op abonnementsniveau

  2. Open de blade Toegangsbeheer (IAM) voor de resourcegroep.View the Access control (IAM) blade for the resource group.

    Roltoewijzingen voor een groep op het niveau van een resourcegroep

Toegang intrekkenRemove access

U kunt de toegang voor gebruikers, groepen en toepassingen intrekken door met de opdracht Remove-AzRoleAssignment een roltoewijzing te verwijderen.To remove access for users, groups, and applications, use Remove-AzRoleAssignment to remove a role assignment.

  1. Gebruik de volgende opdracht om op het niveau van de resourcegroep de toewijzing van de rol Inzender te verwijderen voor de groep.Use the following command to remove the Contributor role assignment for the group at the resource group scope.

    Remove-AzRoleAssignment -ObjectId $groupId `
      -RoleDefinitionName "Contributor" `
      -ResourceGroupName "rbac-tutorial-resource-group"
    
  2. Gebruik de volgende opdracht om op abonnementsniveau de toewijzing van de rol Lezer te verwijderen voor de groep.Use the following command to remove the Reader role assignment for the group at the subscription scope.

    Remove-AzRoleAssignment -ObjectId $groupId `
      -RoleDefinitionName "Reader" `
      -Scope $subScope
    

Resources opschonenClean up resources

Als u de in deze zelfstudie gemaakte resources wilt opschonen, verwijdert u de resourcegroep en de groep.To clean up the resources created by this tutorial, delete the resource group and the group.

  1. Verwijder de resourcegroep met de opdracht Remove-AzResourceGroup.Delete the resource group using the Remove-AzResourceGroup command.

    Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"
    
    Confirm
    Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"):
    
  2. Wanneer u wordt gevraagd om de bewerking te bevestigen, typt u Y. Het duurt een paar seconden om de groep te verwijderen.When asked to confirm, type Y. It will take a few seconds to delete.

  3. Verwijder de groep met de opdracht Remove-AzureADGroup.Delete the group using the Remove-AzureADGroup command.

    Remove-AzureADGroup -ObjectId $groupId
    

    Als u een foutbericht ziet wanneer u de groep probeert te verwijderen, kunt u de groep ook in Azure Portal verwijderen.If you receive an error when you try to delete the group, you can also delete the group in the portal.

Volgende stappenNext steps