Anpassade roller för Azure-resurserCustom roles for Azure resources

Om de inbyggda rollerna för Azure-resurser inte uppfyller organisationens specifika krav, kan du skapa egna anpassade roller.If the built-in roles for Azure resources don't meet the specific needs of your organization, you can create your own custom roles. Precis som inbyggda roller kan du tilldela anpassade roller till användare, grupper och tjänstens huvud namn vid prenumeration, resurs grupp och resurs omfång.Just like built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes.

Anpassade roller kan delas mellan prenumerationer som har förtroende för samma Azure AD-katalog.Custom roles can be shared between subscriptions that trust the same Azure AD directory. Det finns en gräns på 5 000 anpassade roller per katalog.There is a limit of 5,000 custom roles per directory. (För specialiserade moln, till exempel Azure Government, Azure Tyskland och Azure Kina 21Vianet, är gränsen 2 000 anpassade roller.) Anpassade roller kan skapas med hjälp av Azure PowerShell, Azure CLI eller REST API.(For specialized clouds, such as Azure Government, Azure Germany, and Azure China 21Vianet, the limit is 2,000 custom roles.) Custom roles can be created using Azure PowerShell, Azure CLI, or the REST API.

Exempel på anpassade rollerCustom role example

Följande visar hur en anpassad roll ser ut som om den visas i JSON-format.The following shows what a custom role looks like as displayed in JSON format. Den här anpassade rollen kan användas för övervakning och omstart av virtuella datorer.This custom role can be used for monitoring and restarting virtual machines.

{
  "Name": "Virtual Machine Operator",
  "Id": "88888888-8888-8888-8888-888888888888",
  "IsCustom": true,
  "Description": "Can monitor and restart virtual machines.",
  "Actions": [
    "Microsoft.Storage/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Authorization/*/read",
    "Microsoft.ResourceHealth/availabilityStatuses/read",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Insights/alertRules/*",
    "Microsoft.Insights/diagnosticSettings/*",
    "Microsoft.Support/*"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}",
    "/subscriptions/{subscriptionId2}",
    "/subscriptions/{subscriptionId3}"
  ]
}

När du skapar en anpassad roll visas den i Azure Portal med en orange resurs ikon.When you create a custom role, it appears in the Azure portal with an orange resource icon.

Ikon för anpassad roll

Steg för att skapa en anpassad rollSteps to create a custom role

  1. Bestäm hur du vill skapa den anpassade rollenDecide how you want to create the custom role

    Du kan skapa anpassade roller med hjälp av Azure PowerShell, Azure CLIeller REST API.You can create custom roles using Azure PowerShell, Azure CLI, or the REST API.

  2. Bestäm vilka behörigheter du behöverDetermine the permissions you need

    När du skapar en anpassad roll måste du veta vilka resurs leverantörs åtgärder som är tillgängliga för att definiera dina behörigheter.When you create a custom role, you need to know the resource provider operations that are available to define your permissions. Information om hur du visar listan över åtgärder finns i Azure Resource Manager Resource Provider-åtgärder.To view the list of operations, see the Azure Resource Manager resource provider operations. Du lägger till åtgärder i Actions-eller NotActions egenskaperna för roll definitionen.You will add the operations to the Actions or NotActions properties of the role definition. Om du har data åtgärder kommer du att lägga till dem i DataActions-eller NotDataActions egenskaper.If you have data operations, you will add those to the DataActions or NotDataActions properties.

  3. Skapa den anpassade rollenCreate the custom role

    Normalt börjar du med en befintlig inbyggd roll och ändrar den efter dina behov.Typically, you start with an existing built-in role and then modify it for your needs. Sedan använder du kommandot New-AzRoleDefinition eller AZ Role definition Create för att skapa den anpassade rollen.Then you use the New-AzRoleDefinition or az role definition create commands to create the custom role. Om du vill skapa en anpassad roll måste du ha Microsoft.Authorization/roleDefinitions/write behörighet för alla AssignableScopes, till exempel ägare eller administratör för användar åtkomst.To create a custom role, you must have the Microsoft.Authorization/roleDefinitions/write permission on all AssignableScopes, such as Owner or User Access Administrator.

  4. Testa den anpassade rollenTest the custom role

    När du har en anpassad roll måste du testa den för att kontrol lera att den fungerar som förväntat.Once you have your custom role, you have to test it to verify that it works as you expect. Om du behöver göra justeringar senare kan du uppdatera den anpassade rollen.If you need to make adjustments later, you can update the custom role.

En stegvis själv studie kurs om hur du skapar en anpassad roll finns i Självstudier: skapa en anpassad roll med hjälp av Azure PowerShell eller Självstudier: skapa en anpassad roll med hjälp av Azure CLI.For a step-by-step tutorial on how to create a custom role, see Tutorial: Create a custom role using Azure PowerShell or Tutorial: Create a custom role using Azure CLI.

Egenskaper för anpassad rollCustom role properties

En anpassad roll har följande egenskaper.A custom role has the following properties.

EgenskapProperty KrävsRequired TypType BeskrivningDescription
Name JaYes SträngString Visnings namnet för den anpassade rollen.The display name of the custom role. Även om en roll definition är en resurs på en prenumerations nivå kan en roll definition användas i flera prenumerationer som delar samma Azure AD-katalog.While a role definition is a subscription-level resource, a role definition can be used in multiple subscriptions that share the same Azure AD directory. Det här visnings namnet måste vara unikt i Azure AD-katalogens omfång.This display name must be unique at the scope of the Azure AD directory. Kan innehålla bokstäver, siffror, blank steg och specialtecken.Can include letters, numbers, spaces, and special characters. Maximalt antal tecken är 128.Maximum number of characters is 128.
Id JaYes SträngString Det unika ID: t för den anpassade rollen.The unique ID of the custom role. För Azure PowerShell och Azure CLI genereras detta ID automatiskt när du skapar en ny roll.For Azure PowerShell and Azure CLI, this ID is automatically generated when you create a new role.
IsCustom JaYes SträngString Anger om det här är en anpassad roll.Indicates whether this is a custom role. Ange true för anpassade roller.Set to true for custom roles.
Description JaYes SträngString Beskrivningen av den anpassade rollen.The description of the custom role. Kan innehålla bokstäver, siffror, blank steg och specialtecken.Can include letters, numbers, spaces, and special characters. Maximalt antal tecken är 1024.Maximum number of characters is 1024.
Actions JaYes Sträng []String[] En sträng mat ris som anger vilka hanterings åtgärder som rollen kan utföra.An array of strings that specifies the management operations that the role allows to be performed. Mer information finns i åtgärder.For more information, see Actions.
NotActions NejNo Sträng []String[] En sträng mat ris som anger de hanterings åtgärder som är undantagna från tillåtna Actions.An array of strings that specifies the management operations that are excluded from the allowed Actions. Mer information finns i NotActions.For more information, see NotActions.
DataActions NejNo Sträng []String[] En sträng mat ris som anger de data åtgärder som rollen kan utföra på dina data i objektet.An array of strings that specifies the data operations that the role allows to be performed to your data within that object. Mer information finns i DataActions.For more information, see DataActions.
NotDataActions NejNo Sträng []String[] En sträng mat ris som anger de data åtgärder som undantas från tillåtna DataActions.An array of strings that specifies the data operations that are excluded from the allowed DataActions. Mer information finns i NotDataActions.For more information, see NotDataActions.
AssignableScopes JaYes Sträng []String[] En sträng mat ris som anger de omfång som den anpassade rollen är tillgänglig för tilldelning.An array of strings that specifies the scopes that the custom role is available for assignment. För anpassade roller kan du för närvarande inte ange AssignableScopes till rot omfånget ("/") eller ett hanterings grupps omfång.For custom roles, you currently cannot set AssignableScopes to the root scope ("/") or a management group scope. Mer information finns i AssignableScopes och organisera dina resurser med Azures hanterings grupper.For more information, see AssignableScopes and Organize your resources with Azure management groups.

Vem kan skapa, ta bort, uppdatera eller Visa en anpassad rollWho can create, delete, update, or view a custom role

Precis som inbyggda roller anger egenskapen AssignableScopes de omfattningar som rollen är tillgänglig för tilldelning.Just like built-in roles, the AssignableScopes property specifies the scopes that the role is available for assignment. Egenskapen AssignableScopes för en anpassad roll kontrollerar också vem som kan skapa, ta bort, uppdatera eller Visa den anpassade rollen.The AssignableScopes property for a custom role also controls who can create, delete, update, or view the custom role.

AktivitetTask ÅtgärdOperation BeskrivningDescription
Skapa/ta bort en anpassad rollCreate/delete a custom role Microsoft.Authorization/ roleDefinitions/write Användare som har tilldelats den här åtgärden på alla AssignableScopes av den anpassade rollen kan skapa (eller ta bort) anpassade roller för användning i dessa omfång.Users that are granted this operation on all the AssignableScopes of the custom role can create (or delete) custom roles for use in those scopes. Till exempel ägare och användar åtkomst administratörer för prenumerationer, resurs grupper och resurser.For example, Owners and User Access Administrators of subscriptions, resource groups, and resources.
Uppdatera en anpassad rollUpdate a custom role Microsoft.Authorization/ roleDefinitions/write Användare som har tilldelats den här åtgärden på alla AssignableScopes av den anpassade rollen kan uppdatera anpassade roller i dessa scope.Users that are granted this operation on all the AssignableScopes of the custom role can update custom roles in those scopes. Till exempel ägare och användar åtkomst administratörer för prenumerationer, resurs grupper och resurser.For example, Owners and User Access Administrators of subscriptions, resource groups, and resources.
Visa en anpassad rollView a custom role Microsoft.Authorization/ roleDefinitions/read Användare som har tilldelats den här åtgärden i ett omfång kan visa de anpassade roller som är tillgängliga för tilldelning i det aktuella omfånget.Users that are granted this operation at a scope can view the custom roles that are available for assignment at that scope. Alla inbyggda roller gör att anpassade roller kan vara tillgängliga för tilldelning.All built-in roles allow custom roles to be available for assignment.

Nästa stegNext steps