Azure portalı kullanarak özel Azure rolleri oluşturma veya güncelleştirmeCreate or update Azure custom roles using the Azure portal

Azure yerleşik rolleri kuruluşunuzun belirli ihtiyaçlarını karşılamıyorsa, kendi Azure özel rollerinizi de oluşturabilirsiniz.If the Azure built-in roles don't meet the specific needs of your organization, you can create your own Azure custom roles. Yerleşik rollerde olduğu gibi, abonelik ve kaynak grubu kapsamları 'nda kullanıcılara, gruplara ve hizmet sorumlularına özel roller atayabilirsiniz.Just like built-in roles, you can assign custom roles to users, groups, and service principals at subscription and resource group scopes. Özel Roller bir Azure Active Directory (Azure AD) dizininde depolanır ve abonelikler arasında paylaşılabilir.Custom roles are stored in an Azure Active Directory (Azure AD) directory and can be shared across subscriptions. Her bir dizin en fazla 5000 özel role sahip olabilir.Each directory can have up to 5000 custom roles. Özel roller Azure portal, Azure PowerShell, Azure CLı veya REST API kullanılarak oluşturulabilir.Custom roles can be created using the Azure portal, Azure PowerShell, Azure CLI, or the REST API. Bu makalede, Azure portal kullanarak nasıl özel rol oluşturulacağı açıklanır.This article describes how to create custom roles using the Azure portal.

ÖnkoşullarPrerequisites

Özel Roller oluşturmak için şunlar gerekir:To create custom roles, you need:

1. Adım: ihtiyacınız olan izinleri belirlemeStep 1: Determine the permissions you need

Azure 'da, özel rolünüzün potansiyel olarak içerebileceği binlerce izin vardır.Azure has thousands of permissions that you can potentially include in your custom role. Özel rolünüze eklemek istediğiniz izinleri belirlemenize yardımcı olabilecek bazı yöntemler şunlardır:Here are some methods that can help you determine the permissions you will want to add to your custom role:

2. Adım: nasıl başlayakullanacağınızı seçinStep 2: Choose how to start

Özel bir rol oluşturmaya başlayabilmeniz için kullanabileceğiniz üç yol vardır.There are three ways that you can start to create a custom role. Var olan bir rolü klonlayabilir, sıfırdan başlayabilir veya bir JSON dosyasıyla başlayabilirsiniz.You can clone an existing role, start from scratch, or start with a JSON file. En kolay yol, ihtiyacınız olan izinlere sahip olan mevcut bir rolü bulmanız ve sonra senaryonuz için kopyalayıp değiştirmektir.The easiest way is to find an existing role that has most of the permissions you need and then clone and modify it for your scenario.

Rolü kopyalamaClone a role

Mevcut bir rol gerekli izinlere sahip değilse, onu kopyalayabilir ve sonra izinleri değiştirebilirsiniz.If an existing role does not quite have the permissions you need, you can clone it and then modify the permissions. Bir rolü kopyalamaya başlamak için bu adımları izleyin.Follow these steps to start cloning a role.

  1. Azure portal, özel rolün atanabilir olmasını istediğiniz bir abonelik veya kaynak grubu açın ve ardından erişim denetimi (IAM) öğesini açın.In the Azure portal, open a subscription or resource group where you want the custom role to be assignable and then open Access control (IAM).

    Aşağıdaki ekran görüntüsünde, abonelik için açılan erişim denetimi (ıAM) sayfası gösterilmektedir.The following screenshot shows the Access control (IAM) page opened for a subscription.

    Abonelik için erişim denetimi (ıAM) sayfası

  2. Tüm yerleşik ve özel rollerin listesini görmek için Roller sekmesine tıklayın.Click the Roles tab to see a list of all the built-in and custom roles.

  3. Fatura okuyucu rolü gibi kopyalamak istediğiniz bir rolü arayın.Search for a role you want to clone such as the Billing Reader role.

  4. Satırın sonunda üç nokta (...) simgesine tıklayın ve ardından Kopyala' ya tıklayın.At the end of the row, click the ellipsis (...) and then click Clone.

    Kopya bağlam menüsü

    Bu, özel roller düzenleyicisini bir rol Kopyala seçeneği belirlenmiş olarak açar.This opens the custom roles editor with the Clone a role option selected.

  5. 3. Adım: temel bilgiler' e geçin.Proceed to Step 3: Basics.

Sıfırdan başlamaStart from scratch

İsterseniz, sıfırdan özel bir rol başlatmak için aşağıdaki adımları izleyebilirsiniz.If you prefer, you can follow these steps to start a custom role from scratch.

  1. Azure portal, özel rolün atanabilir olmasını istediğiniz bir abonelik veya kaynak grubu açın ve ardından erişim denetimi (IAM) öğesini açın.In the Azure portal, open a subscription or resource group where you want the custom role to be assignable and then open Access control (IAM).

  2. Ekle ' ye tıklayın ve ardından özel rol Ekle' ye tıklayın.Click Add and then click Add custom role.

    Özel rol Ekle menüsü

    Bu, özel roller düzenleyicisini sıfırdan başla seçeneği seçili olarak açar.This opens the custom roles editor with the Start from scratch option selected.

  3. 3. Adım: temel bilgiler' e geçin.Proceed to Step 3: Basics.

JSON 'dan BaşlatStart from JSON

İsterseniz, özel rol değerlerinizin çoğunu bir JSON dosyasında belirtebilirsiniz.If you prefer, you can specify most of your custom role values in a JSON file. Dosyayı özel roller düzenleyicisinde açabilir, ek değişiklikler yapabilir ve sonra özel rolü oluşturabilirsiniz.You can open the file in the custom roles editor, make additional changes, and then create the custom role. Bir JSON dosyasıyla başlamak için bu adımları izleyin.Follow these steps to start with a JSON file.

  1. Aşağıdaki biçime sahip bir JSON dosyası oluşturun:Create a JSON file that has the following format:

    {
        "properties": {
            "roleName": "",
            "description": "",
            "assignableScopes": [],
            "permissions": [
                {
                    "actions": [],
                    "notActions": [],
                    "dataActions": [],
                    "notDataActions": []
                }
            ]
        }
    }
    
  2. JSON dosyasında çeşitli özellikler için değerleri belirtin.In the JSON file, specify values for the various properties. Aşağıda bazı değerler eklenmiş bir örnek verilmiştir.Here's an example with some values added. Farklı özellikler hakkında daha fazla bilgi için bkz. Azure rol tanımlarını anlama.For information about the different properties, see Understand Azure role definitions.

    {
        "properties": {
            "roleName": "Billing Reader Plus",
            "description": "Read billing data and download invoices",
            "assignableScopes": [
                "/subscriptions/11111111-1111-1111-1111-111111111111"
            ],
            "permissions": [
                {
                    "actions": [
                        "Microsoft.Authorization/*/read",
                        "Microsoft.Billing/*/read",
                        "Microsoft.Commerce/*/read",
                        "Microsoft.Consumption/*/read",
                        "Microsoft.Management/managementGroups/read",
                        "Microsoft.CostManagement/*/read",
                        "Microsoft.Support/*"
                    ],
                    "notActions": [],
                    "dataActions": [],
                    "notDataActions": []
                }
            ]
        }
    }
    
  3. Azure portal, erişim denetimi (IAM) sayfasını açın.In the Azure portal, open the Access control (IAM) page.

  4. Ekle ' ye tıklayın ve ardından özel rol Ekle' ye tıklayın.Click Add and then click Add custom role.

    Özel rol Ekle menüsü

    Bu, özel roller düzenleyicisini açar.This opens the custom roles editor.

  5. Temel bilgiler sekmesinde, temel izinler' de JSON 'dan Başlat' ı seçin.On the Basics tab, in Baseline permissions, select Start from JSON.

  6. Dosya Seç kutusunun yanındaki klasör düğmesine tıklayarak aç iletişim kutusunu açın.Next to the Select a file box, click the folder button to open the Open dialog box.

  7. JSON dosyanızı seçin ve ardından ' a tıklayın.Select your JSON file and then click Open.

  8. 3. Adım: temel bilgiler' e geçin.Proceed to Step 3: Basics.

3. Adım: temel bilgilerStep 3: Basics

Temel bilgiler sekmesinde, özel rolünüzün ad, açıklama ve taban çizgisi izinlerini belirtirsiniz.On the Basics tab, you specify the name, description, and baseline permissions for your custom role.

  1. Özel rol adı kutusunda, özel rol için bir ad belirtin.In the Custom role name box, specify a name for the custom role. Ad, Azure AD dizini için benzersiz olmalıdır.The name must be unique for the Azure AD directory. Ad harf, sayı, boşluk ve özel karakterler içerebilir.The name can include letters, numbers, spaces, and special characters.

  2. Açıklama kutusunda, özel rol için isteğe bağlı bir açıklama belirtin.In the Description box, specify an optional description for the custom role. Bu, özel rol için araç ipucu olur.This will become the tooltip for the custom role.

    Taban çizgisi izinleri seçeneği, önceki adıma göre zaten ayarlanmalıdır, ancak bunu değiştirebilirsiniz.The Baseline permissions option should already be set based on the previous step, but you can change.

    Belirtilen değerleri içeren temel bilgiler sekmesi

4. Adım: IzinlerStep 4: Permissions

İzinler sekmesinde, özel rolünüzün izinlerini belirtirsiniz.On the Permissions tab, you specify the permissions for your custom role. Bir rolü Klonladığınız veya JSON ile başladığınıza bağlı olarak, Izinler sekmesi bazı izinleri zaten listelemeyebilir.Depending on whether you cloned a role or if you started with JSON, the Permissions tab might already list some permissions.

Özel rol oluştur 'un İzinler sekmesi

İzinleri ekleme veya kaldırmaAdd or remove permissions

Özel rolünüzün izinlerini eklemek veya kaldırmak için bu adımları izleyin.Follow these steps to add or remove permissions for your custom role.

  1. İzinler eklemek için izin Ekle ' ye tıklayarak izin Ekle bölmesini açın.To add permissions, click Add permissions to open the Add permissions pane.

    Bu bölme, kullanılabilir tüm izinleri bir kart biçiminde farklı kategoriler halinde gruplanmış olarak listeler.This pane lists all available permissions grouped into different categories in a card format. Her kategori, Azure kaynaklarını sağlayan bir hizmet olan bir kaynak sağlayıcısını temsil eder.Each category represents a resource provider, which is a service that supplies Azure resources.

  2. Izin ara kutusuna, izinleri aramak için bir dize yazın.In the Search for a permission box, type a string to search for permissions. Örneğin, faturayla ilgili izinleri bulmak için Fatura araması yapın.For example, search for invoice to find permissions related to invoice.

    Arama dizeniz temelinde, kaynak sağlayıcısı kartlarının bir listesi görüntülenir.A list of resource provider cards will be displayed based on your search string. Kaynak sağlayıcılarının Azure hizmetleriyle nasıl eşlenme listesi için bkz. Azure hizmetleri Için kaynak sağlayıcıları.For a list of how resource providers map to Azure services, see Resource providers for Azure services.

    Kaynak sağlayıcısı ile izin bölmesi ekleme

  3. Özel rolünüze eklemek istediğiniz izinlere sahip olabilecek Microsoft faturalandırma gibi bir kaynak sağlayıcısı kartına tıklayın.Click a resource provider card that might have the permissions you want to add to your custom role, such as Microsoft Billing.

    Bu kaynak sağlayıcının yönetim izinlerinin listesi, arama dizeniz temelinde görüntülenir.A list of the management permissions for that resource provider is displayed based on your search string.

    İzin listesi ekle

  4. Veri düzlemi için uygulanan izinleri arıyorsanız, veri eylemleri' ne tıklayın.If you are looking for permissions that apply to the data plane, click Data Actions. Aksi takdirde, yönetim düzlemine uygulanan izinleri listelemek için Eylemler seçeneğini Eylemler olarak ayarlayın.Otherwise, leave the actions toggle set to Actions to list permissions that apply to the management plane. Yönetim düzlemi ve veri düzlemi arasındaki farklılıklar hakkında daha fazla bilgi için bkz. Yönetim ve veri işlemleri.For more information, about the differences between the management plane and data plane, see Management and data operations.

  5. Gerekirse, aramanızı daha ayrıntılı hale getirmek için arama dizesini güncelleştirin.If necessary, update the search string to further refine your search.

  6. Özel rolünüze eklemek istediğiniz bir veya daha fazla izin bulduktan sonra, izinlerin yanına bir onay işareti ekleyin.Once you find one or more permissions you want to add to your custom role, add a check mark next to the permissions. Örneğin, diğer ' in yanına bir onay işareti ekleyin: faturaları indirme iznini eklemek için faturayı indirin .For example, add a check mark next to Other : Download Invoice to add the permission to download invoices.

  7. İzin listenize izin eklemek için Ekle ' ye tıklayın.Click Add to add the permission to your permission list.

    İzin bir veya olarak eklenir Actions DataActions .The permission gets added as an Actions or a DataActions.

    İzin eklendi

  8. İzinleri kaldırmak için, satırın sonundaki Sil simgesine tıklayın.To remove permissions, click the delete icon at the end of the row. Bu örnekte, bir kullanıcının destek bileti oluşturmasına gerek duymayacak, Microsoft.Support/* izin silinebilir.In this example, since a user will not need the ability to create support tickets, the Microsoft.Support/* permission can be deleted.

Joker karakter izinleri eklemeAdd wildcard permissions

Başlatma isteğinize bağlı olarak, izin listenizde joker karakterler () ile izinleriniz olabilir * .Depending on how you chose to start, you might have permissions with wildcards (*) in your list of permissions. Bir joker karakter ( * ) sağladığınız eylem dizesiyle eşleşen her şeye bir izni genişletir.A wildcard (*) extends a permission to everything that matches the action string you provide. Örneğin, aşağıdaki joker karakter dizesi Azure maliyet yönetimi ve dışarı aktarma ile ilgili tüm izinleri ekler.For example, the following wildcard string adds all permissions related to Azure Cost Management and exports. Bu Ayrıca, eklenebilir olabilecek, gelecekteki tüm dışarı aktarma izinlerini de içerir.This would also include any future export permissions that might be added.

Microsoft.CostManagement/exports/*

Yeni bir joker karakter izni eklemek istiyorsanız, Izinleri Ekle bölmesini kullanarak ekleyemezsiniz.If you want to add a new wildcard permission, you can't add it using the Add permissions pane. Joker karakter iznini eklemek için JSON sekmesini kullanarak el ile eklemeniz gerekir. Daha fazla bilgi için bkz. 6. Adım: JSON.To add a wildcard permission, you have to add it manually using the JSON tab. For more information, see Step 6: JSON.

Dışlama izinleriExclude permissions

Rolünüzün bir joker karakter ( * ) izni varsa ve bu joker karakter izninden belirli izinleri dışlamak ya da çıkarmak istiyorsanız, bunları dışarıda bırakabilirsiniz.If your role has a wildcard (*) permission and you want to exclude or subtract specific permissions from that wildcard permission, you can exclude them. Örneğin, aşağıdaki joker karakter iznine sahip olduğunu varsayalım:For example, let's say that you have the following wildcard permission:

Microsoft.CostManagement/exports/*

Bir dışarı aktarmanın silinmesine izin vermek istemiyorsanız, aşağıdaki Silme iznini dışlayabilirsiniz:If you don't want to allow an export to be deleted, you could exclude the following delete permission:

Microsoft.CostManagement/exports/delete

Bir izni dışladığınızda, veya olarak eklenir NotActions NotDataActions .When you exclude a permission, it is added as a NotActions or NotDataActions. Etkin yönetim izinleri, tüm Actions ' ı eklenerek ve ardından tüm öğesinin çıkarılmasıyla hesaplanır NotActions .The effective management permissions are computed by adding all of the Actions and then subtracting all of the NotActions. Etkin veri izinleri, tüm DataActions ' ı eklenerek ve ardından tüm öğesinin çıkarılmasıyla hesaplanır NotDataActions .The effective data permissions are computed by adding all of the DataActions and then subtracting all of the NotDataActions.

Not

İznin dışlanması bir reddetme ile aynı değildir.Excluding a permission is not the same as a deny. İzinlerin dışlanması, izinleri bir joker karakter izninden çıkarmak için kullanışlı bir yoldur.Excluding permissions is simply a convenient way to subtract permissions from a wildcard permission.

  1. İzin verilen joker karakter izninden bir izni dışlamak veya çıkarmak için izinleri hariç tut bölmesini açmak için Izinleri hariç tut ' a tıklayın.To exclude or subtract a permission from an allowed wildcard permission, click Exclude permissions to open the Exclude permissions pane.

    Bu bölmede, dışlanan veya çıkarılan yönetim veya veri izinlerini belirtirsiniz.On this pane, you specify the management or data permissions that are excluded or subtracted.

  2. Dışlamak istediğiniz bir veya daha fazla izin bulduktan sonra, izinlerin yanına bir onay işareti ekleyin ve ardından Ekle düğmesine tıklayın.Once you find one or more permissions that you want to exclude, add a check mark next to the permissions and then click the Add button.

    İzinleri dışlama bölmesi-izin seçildi

    İzin veya olarak eklenir NotActions NotDataActions .The permission gets added as a NotActions or NotDataActions.

    İzin dışlandı

5. Adım: atanabilir kapsamlarStep 5: Assignable scopes

Atanabilir kapsamlar sekmesinde, özel rolünüzün atama için kullanılabildiği, abonelik veya kaynak grubu gibi bir konum belirtirsiniz.On the Assignable scopes tab, you specify where your custom role is available for assignment, such as subscription or resource group. Bu sekmede, başlatmayı nasıl seçtiğinize bağlı olarak, erişim denetimi (ıAM) sayfasını açtığınız kapsam listeleyebilir.Depending on how you chose to start, this tab might list the scope where you opened the Access control (IAM) page. Atanabilir kapsamın kök kapsama ("/") ayarlanması desteklenmiyor.Setting assignable scope to root scope ("/") is not supported. Şu anda bir yönetim grubunu atanabilir kapsam olarak ekleyemezsiniz.Currently, you cannot add a management group as an assignable scope.

  1. Atanabilir kapsamlar Ekle bölmesini açmak için atanabilir kapsamlar Ekle ' ye tıklayın.Click Add assignable scopes to open the Add assignable scopes pane.

    Atanabilir kapsamlar sekmesi

  2. Kullanmak istediğiniz bir veya daha fazla kapsamı (genellikle aboneliğiniz) tıklatın.Click one or more scopes that you want to use, typically your subscription.

    Atanabilir kapsamlar ekleme

  3. Atanabilir kapsamınızı eklemek için Ekle düğmesine tıklayın.Click the Add button to add your assignable scope.

6. Adım: JSONStep 6: JSON

JSON sekmesinde, özel rolünüzün JSON içinde biçimlendirildiğini görürsünüz.On the JSON tab, you see your custom role formatted in JSON. İsterseniz JSON 'u doğrudan düzenleyebilirsiniz.If you want, you can directly edit the JSON. Joker karakter ( * ) izni eklemek istiyorsanız, bu sekmeyi kullanmanız gerekir.If you want to add a wildcard (*) permission, you must use this tab.

  1. JSON 'u düzenlemek için Düzenle' ye tıklayın.To edit the JSON, click Edit.

    Özel rolü gösteren JSON sekmesi

  2. JSON üzerinde değişiklik yapın.Make changes to the JSON.

    JSON doğru biçimlendirilmediyse dikey cilt alanında kırmızı bir pürüzlü çizgi ve bir gösterge görürsünüz.If the JSON is not formatted correctly, you will see a red jagged line and an indicator in the vertical gutter.

  3. Düzenlemeden sonra Kaydet' e tıklayın.When finished editing, click Save.

7. Adım: Inceleme + oluşturStep 7: Review + create

Gözden geçir + oluştur sekmesinde, özel rol ayarlarınızı gözden geçirebilirsiniz.On the Review + create tab, you can review your custom role settings.

  1. Özel rol ayarlarınızı gözden geçirin.Review your custom role settings.

    Gözden geçir + Oluştur sekmesi

  2. Özel rolünüzü oluşturmak için Oluştur ' a tıklayın.Click Create to create your custom role.

    Birkaç dakika sonra, özel rolünüzün başarıyla oluşturulduğunu belirten bir ileti kutusu görünür.After a few moments, a message box appears indicating your custom role was successfully created.

    Özel rol iletisi oluştur

    Herhangi bir hata algılanırsa, bir ileti görüntülenir.If any errors are detected, a message will be displayed.

    İnceleme + oluşturma hatası

  3. Yeni özel rolünüzü Roller listesinde görüntüleyin.View your new custom role in the Roles list. Özel rolünüzü görmüyorsanız Yenile' ye tıklayın.If you don't see your custom role, click Refresh.

    Özel rolünüzün her yerde gösterilmesi birkaç dakika sürebilir.It can take a few minutes for your custom role to appear everywhere.

Özel rolleri listelemeList custom roles

Özel rollerinizi görüntülemek için aşağıdaki adımları izleyin.Follow these steps to view your custom roles.

  1. Bir abonelik veya kaynak grubu açın ve ardından erişim denetimi (IAM) öğesini açın.Open a subscription or resource group and then open Access control (IAM).

  2. Tüm yerleşik ve özel rollerin listesini görmek için Roller sekmesine tıklayın.Click the Roles tab to see a list of all the built-in and custom roles.

  3. Tür listesinde, customrole öğesini seçerek özel rollerinizi görüntüleyin.In the Type list, select CustomRole to just see your custom roles.

    Özel rolünüzü oluşturduysanız ve listede görmüyorsanız, Yenile' ye tıklayın.If you just created your custom role and you don't see it in the list, click Refresh.

    Özel rol listesi

Özel rolü güncelleştirmeUpdate a custom role

  1. Bu makalenin önceki kısımlarında açıklandığı gibi, özel roller listenizi açın.As described earlier in this article, open your list of custom roles.

  2. Güncelleştirmek istediğiniz özel rolün üç nokta (...) simgesine tıklayın ve ardından Düzenle' ye tıklayın.Click the ellipsis (...) for the custom role you want to update and then click Edit. Yerleşik rolleri güncelleştiremayacağınızı unutmayın.Note that you can't update built-in roles.

    Özel rol düzenleyicide açılır.The custom role is opened in the editor.

    Özel rol menüsü

  3. Özel rolü güncelleştirmek için farklı sekmeleri kullanın.Use the different tabs to update the custom role.

  4. Değişikliklerinizi tamamladıktan sonra değişikliklerinizi gözden geçirmek için gözden geçir + oluştur sekmesine tıklayın.Once you are finished with your changes, click the Review + create tab to review your changes.

  5. Özel rolünüzü güncelleştirmek için Güncelleştir düğmesine tıklayın.Click the Update button to update your custom role.

Özel rolü silmeDelete a custom role

  1. Bu makalenin önceki kısımlarında açıklandığı gibi, özel roller listenizi açın.As described earlier in this article, open your list of custom roles.

  2. Özel rolü kullanan tüm rol atamalarını kaldırın.Remove any role assignments that using the custom role.

  3. Silmek istediğiniz özel rolün üç nokta (...) simgesine tıklayın ve ardından Sil' e tıklayın.Click the ellipsis (...) for the custom role you want to delete and then click Delete.

    Silinmek üzere seçilebilirler özel rollerin bir listesini gösteren ekran görüntüsü.

    Özel rolünüzün tamamen silinmesi birkaç dakika sürebilir.It can take a few minutes for your custom role to be completely deleted.

Sonraki adımlarNext steps