Azure RBAC sorunlarını gidermeTroubleshoot Azure RBAC

Bu makalede, Azure rol tabanlı erişim denetimi (Azure RBAC) ile ilgili bazı yaygın soruların yanıtları sağlanır ve bu sayede, rolleri kullanırken ne kadar beklediğinizi ve erişim sorunlarını giderebileceğinizi bilirsiniz.This article answers some common questions about Azure role-based access control (Azure RBAC), so that you know what to expect when using the roles and can troubleshoot access problems.

Azure rol atama sınırıAzure role assignments limit

Azure, abonelik başına en fazla 2000 rol atamasını destekler.Azure supports up to 2000 role assignments per subscription. Bu sınır, abonelik, kaynak grubu ve kaynak kapsamlarındaki rol atamalarını içerir.This limit includes role assignments at the subscription, resource group, and resource scopes. "Daha fazla rol ataması Oluşturuasız (Code: Roleatamaadı)" hata iletisini alırsanız, bir rol atamayı denediğinizde, abonelikteki rol atamalarının sayısını azaltmayı deneyin.If you get the error message "No more role assignments can be created (code: RoleAssignmentLimitExceeded)" when you try to assign a role, try to reduce the number of role assignments in the subscription.

Not

Abonelik başına 2000 rol atama sınırı sabittir ve artırılabilir.The 2000 role assignments limit per subscription is fixed and cannot be increased.

Bu sınıra yakın bir değer alıyorsanız, rol atamalarının sayısını azaltabilmeniz için bazı yollar şunlardır:If you are getting close to this limit, here are some ways that you can reduce the number of role assignments:

  • Gruplara kullanıcı ekleyin ve bunun yerine gruplara roller atayın.Add users to groups and assign roles to the groups instead.
  • Birden çok yerleşik rolü özel bir rolle birleştirin.Combine multiple built-in roles with a custom role.
  • Abonelik veya yönetim grubu gibi daha yüksek bir kapsamda ortak rol atamaları yapın.Make common role assignments at a higher scope, such as subscription or management group.
  • Azure AD Premium P2 varsa, rol atamalarını kalıcı olarak atamak yerine Azure AD Privileged Identity Management uygun hale getirin.If you have Azure AD Premium P2, make role assignments eligible in Azure AD Privileged Identity Management instead of permanently assigned.
  • Ek bir abonelik ekleyin.Add an additional subscription.

Rol atamalarının sayısını almak için grafiği Azure Portal erişim denetimi (IAM) sayfasında görüntüleyebilirsiniz.To get the number of role assignments, you can view the chart on the Access control (IAM) page in the Azure portal. Aşağıdaki Azure PowerShell komutlarını da kullanabilirsiniz:You can also use the following Azure PowerShell commands:

$scope = "/subscriptions/<subscriptionId>"
$ras = Get-AzRoleAssignment -Scope $scope | Where-Object {$_.scope.StartsWith($scope)}
$ras.Count

Azure rol atamaları ile ilgili sorunlarProblems with Azure role assignments

  • Rol Ekle ataması Ekle seçeneği devre dışı olduğundan veya erişim denetimi (IAM) üzerindeki Azure Portal bir rol atamadıysanız > veya "nesne kimliği olan istemci, eylemi gerçekleştirmek için yetkilendirmeye sahip değil" hatasını alırsanız, Microsoft.Authorization/roleAssignments/write rolü atamaya çalıştığınız kapsamda sahip veya Kullanıcı erişimi Yöneticisi gibi izne sahip bir rol atanmış kullanıcıyla oturum açtığınızdan emin olun.If you are unable to assign a role in the Azure portal on Access control (IAM) because the Add > Add role assignment option is disabled or because you get the permissions error "The client with object id does not have authorization to perform action", check that you are currently signed in with a user that is assigned a role that has the Microsoft.Authorization/roleAssignments/write permission such as Owner or User Access Administrator at the scope you are trying to assign the role.

  • Rol atamak için bir hizmet sorumlusu kullanıyorsanız, "işlemi tamamlamaya yönelik ayrıcalıklar yetersiz" hatasını alabilirsiniz.If you are using a service principal to assign roles, you might get the error "Insufficient privileges to complete the operation." Örneğin, sahip rolüne atanan bir hizmet sorumlusu olduğunu ve Azure CLı kullanarak hizmet sorumlusu olarak aşağıdaki rol atamasını oluşturmayı deneytiğinizi varsayalım:For example, let's say that you have a service principal that has been assigned the Owner role and you try to create the following role assignment as the service principal using Azure CLI:

    az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
    az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"
    

    "İşlemi tamamlamaya yönelik ayrıcalıklar yetersiz" hatasını alırsanız Azure CLı, Azure AD 'de atanan kimliği aramaya çalışıyor ve hizmet sorumlusu varsayılan olarak Azure AD 'yi okuyamıyor olabilir.If you get the error "Insufficient privileges to complete the operation", it is likely because Azure CLI is attempting to look up the assignee identity in Azure AD and the service principal cannot read Azure AD by default.

    Bu hatayı çözebilecek iki yol vardır.There are two ways to potentially resolve this error. İlk yöntem, Dizin okuyucuları rolünü, dizindeki verileri okuyabilmesi için hizmet sorumlusuna atamanız olur.The first way is to assign the Directory Readers role to the service principal so that it can read data in the directory.

    Bu hatayı çözmek için ikinci yöntem, yerine parametresini kullanarak rol atamasını oluşturmaktır --assignee-object-id --assignee .The second way to resolve this error is to create the role assignment by using the --assignee-object-id parameter instead of --assignee. Kullanarak --assignee-object-id Azure CLI, Azure AD aramasını atlar.By using --assignee-object-id, Azure CLI will skip the Azure AD lookup. Rolü atamak istediğiniz kullanıcı, Grup veya uygulamanın nesne KIMLIĞINI almanız gerekir.You will need to get the object ID of the user, group, or application that you want to assign the role to. Daha fazla bilgi için bkz. Azure CLI kullanarak Azure rolleri atama.For more information, see Assign Azure roles using Azure CLI.

    az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"
    
  • Yeni bir hizmet sorumlusu oluşturur ve bu hizmet sorumlusuna hemen bir rol atamayı denerseniz, bu rol ataması bazı durumlarda başarısız olabilir.If you create a new service principal and immediately try to assign a role to that service principal, that role assignment can fail in some cases.

    Bu senaryoya yönelik olarak, principalType rol atamasını oluştururken özelliğini olarak ayarlamanız gerekir ServicePrincipal .To address this scenario, you should set the principalType property to ServicePrincipal when creating the role assignment. apiVersionRol atamasının öğesini 2018-09-01-preview veya daha sonra da ayarlamanız gerekir.You must also set the apiVersion of the role assignment to 2018-09-01-preview or later. Daha fazla bilgi için bkz . Azure rollerini REST API kullanarak yeni bir hizmet sorumlusuna atama veya Azure Resource Manager şablonları kullanarak Azure rollerini yeni bir hizmet sorumlusuna atamaFor more information, see Assign Azure roles to a new service principal using the REST API or Assign Azure roles to a new service principal using Azure Resource Manager templates

  • Bir abonelik için son sahip rol atamasını kaldırmaya çalışırsanız, "son RBAC yönetici ataması silinemiyor." hatasını görebilirsiniz.If you attempt to remove the last Owner role assignment for a subscription, you might see the error "Cannot delete the last RBAC admin assignment." Aboneliğin en son sahip rol atamasının kaldırılması, aboneliğin orphankaçınmak için desteklenmez.Removing the last Owner role assignment for a subscription is not supported to avoid orphaning the subscription. Aboneliğinizi iptal etmek istiyorsanız bkz. Azure aboneliğinizi Iptal etme.If you want to cancel your subscription, see Cancel your Azure subscription.

Özel rollerle ilgili sorunlarProblems with custom roles

  • Özel rol oluşturma için adımlara ihtiyacınız varsa, Azure Portal, Azure POWERSHELLveya Azure CLIkullanarak özel rol öğreticilerine bakın.If you need steps for how to create a custom role, see the custom role tutorials using the Azure portal, Azure PowerShell, or Azure CLI.
  • Mevcut bir özel rolü güncelleştireerişemiyorsanız, Microsoft.Authorization/roleDefinition/write sahip veya Kullanıcı erişimi Yöneticisigibi izne sahip bir rol atanmış kullanıcıyla oturum açmış olup olmadığınızı kontrol edin.If you are unable to update an existing custom role, check that you are currently signed in with a user that is assigned a role that has the Microsoft.Authorization/roleDefinition/write permission such as Owner or User Access Administrator.
  • Özel rolü silemiyor ve "Role başvuran mevcut rol atamaları var (kod: RoleDefinitionHasAssignments)" hata iletisiyle karşılaşıyorsanız, özel rolü kullanan rol atamaları mevcuttur.If you are unable to delete a custom role and get the error message "There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)", then there are role assignments still using the custom role. Bu rol atamalarını kaldırın ve özel rolü silmeyi tekrar deneyin.Remove those role assignments and try to delete the custom role again.
  • Yeni bir özel rol oluşturmaya çalıştığınızda "Rol tanımı sınırı aşıldı.If you get the error message "Role definition limit exceeded. Başka rol tanımı oluşturulamaz (kod: Roledefinitionlimitexcelıo) "yeni bir özel rol oluşturmaya çalıştığınızda kullanılmayan tüm özel rolleri silin.No more role definitions can be created (code: RoleDefinitionLimitExceeded)" when you try to create a new custom role, delete any custom roles that aren't being used. Azure, bir dizinde en fazla 5000 özel rolü destekler.Azure supports up to 5000 custom roles in a directory. (Azure Almanya ve Azure Çin 21Vianet için sınır 2000 özel rollerdir.)(For Azure Germany and Azure China 21Vianet, the limit is 2000 custom roles.)
  • "İstemcinin '/Subscriptions/{SubscriptionID} ' kapsamındaki ' Microsoft. Authorization/roleDefinitions/Write ' eylemini gerçekleştirme izni var, ancak bağlantılı abonelik bulunamadı" özel bir rolü güncelleştirmeye çalıştığınızda, bir veya daha fazla atanabilir kapsamın dizinde silinip silinmediğini denetleyin.If you get an error similar to "The client has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/{subscriptionid}', however the linked subscription was not found" when you try to update a custom role, check whether one or more assignable scopes have been deleted in the directory. Kapsam silinmişse, şu anda bir self servis çözüm olmadığı için destek bileti oluşturun.If the scope was deleted, then create a support ticket as there is no self-service solution available at this time.

Özel roller ve yönetim gruplarıCustom roles and management groups

  • Özel bir rol içinde yalnızca bir yönetim grubu tanımlayabilirsiniz AssignableScopes .You can only define one management group in AssignableScopes of a custom role. ' Ye bir yönetim grubu eklemek AssignableScopes Şu anda önizlemededir.Adding a management group to AssignableScopes is currently in preview.
  • DataActionsYönetim grubu kapsamında özel roller atanamaz.Custom roles with DataActions cannot be assigned at the management group scope.
  • Azure Resource Manager, rol tanımının atanabilir kapsamındaki yönetim grubunun varlığını doğrulamaz.Azure Resource Manager doesn't validate the management group's existence in the role definition's assignable scope.
  • Özel roller ve yönetim grupları hakkında daha fazla bilgi için bkz. Azure Yönetim gruplarıyla kaynaklarınızı düzenleme.For more information about custom roles and management groups, see Organize your resources with Azure management groups.

Aboneliği farklı bir dizine aktarmaTransferring a subscription to a different directory

  • Aboneliği farklı bir Azure AD dizinine aktarmaya yönelik adımlara ihtiyacınız varsa, bkz. Azure aboneliğini farklı bir Azure AD dizinine aktarma.If you need steps for how to transfer a subscription to a different Azure AD directory, see Transfer an Azure subscription to a different Azure AD directory.
  • Bir aboneliği farklı bir Azure AD dizinine aktarırsanız, tüm rol atamaları Kaynak Azure AD dizininden kalıcı olarak silinir ve hedef Azure AD dizinine geçirilmez.If you transfer a subscription to a different Azure AD directory, all role assignments are permanently deleted from the source Azure AD directory and are not migrated to the target Azure AD directory. Rol atamalarınızı hedef dizinde yeniden oluşturmanız gerekir.You must re-create your role assignments in the target directory. Ayrıca, Azure kaynakları için yönetilen kimlikleri el ile yeniden oluşturmanız gerekir.You also have to manually recreate managed identities for Azure resources. Daha fazla bilgi için bkz. SSS ve yönetilen kimliklerle ilgili bilinen sorunlar.For more information, see FAQs and known issues with managed identities.
  • Bir Azure AD Genel yöneticisiyseniz ve dizinler arasında aktarıldıktan sonra bir aboneliğe erişiminiz yoksa, aboneliğe erişim sağlamak için erişiminizi geçici olarak yükseltmek üzere Azure kaynakları için erişim yönetimi ' ni kullanın.If you are an Azure AD Global Administrator and you don't have access to a subscription after it was transferred between directories, use the Access management for Azure resources toggle to temporarily elevate your access to get access to the subscription.

Hizmet yöneticileri veya ortak yöneticilerle ilgili sorunlarIssues with service admins or co-admins

Erişim engellendi veya izin hatalarıAccess denied or permission errors

  • "Nesne kimliğine sahip istemcinin kapsam üzerinde işlemi gerçekleştirme yetkisi yok (kod: AuthorizationFailed)" izin hatasını kaynak oluşturmaya çalıştığınızda alıyorsanız, seçilen kapsamda kaynak için yazma iznine sahip bir rolün atanmış olduğu kullanıcı hesabıyla oturum açmış olduğunuzdan emin olun.If you get the permissions error "The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)" when you try to create a resource, check that you are currently signed in with a user that is assigned a role that has write permission to the resource at the selected scope. Örneğin bir kaynak grubundaki sanal makineleri yönetmek için kaynak grubunda (veya üst kapsamda) Sanal Makine Katılımcısı rolüne sahip olmanız gerekir.For example, to manage virtual machines in a resource group, you should have the Virtual Machine Contributor role on the resource group (or parent scope). Yerleşik her rolün izinlerinin listesi için bkz. Azure yerleşik rolleri.For a list of the permissions for each built-in role, see Azure built-in roles.
  • "Destek talebi oluşturma izniniz yok" hatasını alırsanız bir destek bileti oluşturmayı veya güncelleştirmeyi denediğinizde şu anda oturum açmış olan bir kullanıcı ile oturum açtığınızdan emin olun Microsoft.Support/supportTickets/write , örneğin destek isteği katılımcısıgibi bir rol atanmış olanIf you get the permissions error "You don't have permission to create a support request" when you try to create or update a support ticket, check that you are currently signed in with a user that is assigned a role that has the Microsoft.Support/supportTickets/write permission, such as Support Request Contributor.

Rol atamalarıyla kaynakları taşımaMove resources with role assignments

Doğrudan kaynağa (veya bir alt kaynağa) atanmış bir Azure rolü olan bir kaynağı taşırsanız, rol ataması taşınmaz ve yalnız bırakılmış olur.If you move a resource that has an Azure role assigned directly to the resource (or a child resource), the role assignment is not moved and becomes orphaned. Taşıma işleminden sonra, rol atamasını yeniden oluşturmanız gerekir.After the move, you must re-create the role assignment. Sonuç olarak, yalnız bırakılmış rol ataması otomatik olarak kaldırılır, ancak kaynak taşınmadan önce rol atamasını kaldırmak en iyi uygulamadır.Eventually, the orphaned role assignment will be automatically removed, but it is a best practice to remove the role assignment before moving the resource.

Kaynakları taşıma hakkında daha fazla bilgi için bkz. kaynakları yeni bir kaynak grubuna veya aboneliğe taşıma.For information about how to move resources, see Move resources to a new resource group or subscription.

Kimliği olan rol atamaları bulunamadıRole assignments with identity not found

Azure portal için rol atamaları listesinde, güvenlik sorumlusu 'nın (Kullanıcı, Grup, hizmet sorumlusu veya yönetilen kimlik) Bilinmeyen bir tür ile kimlik bulunamadığı için listelendiğini fark edebilirsiniz.In the list of role assignments for the Azure portal, you might notice that the security principal (user, group, service principal, or managed identity) is listed as Identity not found with an Unknown type.

Azure rol atamaları 'nda listelenen kimlik bulunamadı

Kimlik iki nedenden dolayı bulunamamıştır:The identity might not be found for two reasons:

  • Son zamanlarda bir rol ataması oluştururken Kullanıcı davet ettinizYou recently invited a user when creating a role assignment
  • Rol ataması olan bir güvenlik sorumlusunu sildinizYou deleted a security principal that had a role assignment

Bir Kullanıcı bir rol ataması oluştururken yakın zamanda davet ediyorsanız, bu güvenlik sorumlusu bölge genelindeki çoğaltma işleminde hala olabilir.If you recently invited a user when creating a role assignment, this security principal might still be in the replication process across regions. Bu durumda, birkaç dakika bekleyip rol atamaları listesini yenileyin.If so, wait a few moments and refresh the role assignments list.

Ancak, bu güvenlik sorumlusu son davet edilen bir Kullanıcı değilse, silinen bir güvenlik sorumlusu olabilir.However, if this security principal is not a recently invited user, it might be a deleted security principal. Bir güvenlik sorumlusuna bir rol atarsanız ve daha sonra rol atamasını kaldırmadan bu güvenlik sorumlusunu silerseniz, güvenlik sorumlusu kimlik bulunamadı ve Bilinmeyen bir tür olarak listelenir.If you assign a role to a security principal and then you later delete that security principal without first removing the role assignment, the security principal will be listed as Identity not found and an Unknown type.

Bu rol atamasını Azure PowerShell kullanarak listelüyor, boş DisplayName ve ObjectType Bilinmeyen olarak bir küme görebilirsiniz.If you list this role assignment using Azure PowerShell, you might see an empty DisplayName and an ObjectType set to Unknown. Örneğin, Get-Azroleatama , aşağıdaki çıktıya benzer bir rol ataması döndürür:For example, Get-AzRoleAssignment returns a role assignment that is similar to the following output:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : Unknown
CanDelegate        : False

Benzer şekilde, bu rol atamasını Azure CLı kullanarak listelüyor olmanız halinde boş bir durum görebilirsiniz principalName .Similarly, if you list this role assignment using Azure CLI, you might see an empty principalName. Örneğin, az role atama listesi aşağıdaki çıktıya benzer bir rol ataması döndürür:For example, az role assignment list returns a role assignment that is similar to the following output:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

Güvenlik sorumlusunun silindiği bu rol atamalarından ayrılmayan bir sorun değildir.It isn't a problem to leave these role assignments where the security principal has been deleted. İsterseniz, diğer rol atamalarına benzer adımları kullanarak bu rol atamalarını kaldırabilirsiniz.If you like, you can remove these role assignments using steps that are similar to other role assignments. Rol atamalarını kaldırma hakkında daha fazla bilgi için bkz. Azure rol atamalarını kaldırma.For information about how to remove role assignments, see Remove Azure role assignments.

PowerShell 'de, rol atamalarını nesne KIMLIĞI ve rol tanımı adı kullanarak kaldırmaya çalışırsanız ve parametreleriniz ile eşleşen birden fazla rol ataması varsa, şu hata iletisini alırsınız: "belirtilen bilgiler bir rol atamasıyla eşlenmiyor".In PowerShell, if you try to remove the role assignments using the object ID and role definition name, and more than one role assignment matches your parameters, you will get the error message: "The provided information does not map to a role assignment". Aşağıdaki çıktıda hata iletisi örneği gösterilmektedir:The following output shows an example of the error message:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Bu hata iletisini alırsanız, veya parametrelerini de belirttiğinizden emin olun -Scope -ResourceGroupName .If you get this error message, make sure you also specify the -Scope or -ResourceGroupName parameters.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

Rol atama değişiklikleri algılanamadıRole assignment changes are not being detected

Azure Resource Manager bazen, performansı geliştirmek için yapılandırma ve verileri önbelleğe alır.Azure Resource Manager sometimes caches configurations and data to improve performance. Rolleri atarken veya rol atamalarını kaldırdığınızda, değişikliklerin etkili olması 30 dakika kadar sürebilir.When you assign roles or remove role assignments, it can take up to 30 minutes for changes to take effect. Azure portal, Azure PowerShell veya Azure CLı kullanıyorsanız, oturum kapatarak ve oturum açarak rol atama yaptığınız değişiklikleri yenilemeye zorlayabilirsiniz.If you are using the Azure portal, Azure PowerShell, or Azure CLI, you can force a refresh of your role assignment changes by signing out and signing in. REST API çağrılarında rol ataması değişikliği yapıyorsanız, erişim belirtecinizi yenileyerek yenilemeye zorlayabilirsiniz.If you are making role assignment changes with REST API calls, you can force a refresh by refreshing your access token.

Yönetim grubu kapsamında bir rol ataması ekler veya kaldırırsanız ve rol varsa DataActions , veri düzleminde erişim birkaç saat boyunca güncelleştirilmemiş olabilir.If you are add or remove a role assignment at management group scope and the role has DataActions, the access on the data plane might not be updated for several hours. Bu yalnızca yönetim grubu kapsamı ve veri düzlemi için geçerlidir.This applies only to management group scope and the data plane.

Yazma erişimi gerektiren Web uygulaması özellikleriWeb app features that require write access

Bir kullanıcıya tek bir Web uygulamasına salt okuma erişimi verirseniz, beklememeniz gerekebilecek bazı özellikler devre dışı bırakılır.If you grant a user read-only access to a single web app, some features are disabled that you might not expect. Aşağıdaki yönetim özellikleri bir Web uygulamasına yazma erişimi gerektirir (katkıda bulunan veya sahip) ve herhangi bir salt okuma senaryosunda kullanılamaz.The following management capabilities require write access to a web app (either Contributor or Owner), and aren't available in any read-only scenario.

  • Komutlar (başlatma, durdurma vb. gibi)Commands (like start, stop, etc.)
  • Genel yapılandırma, ölçek ayarları, yedekleme ayarları ve izleme ayarları gibi ayarları değiştirmeChanging settings like general configuration, scale settings, backup settings, and monitoring settings
  • Uygulama ayarları ve bağlantı dizeleri gibi diğer gizli bilgilere ve yayımlama kimlik bilgilerine erişmeAccessing publishing credentials and other secrets like app settings and connection strings
  • Akış günlükleriStreaming logs
  • Kaynak günlükleri yapılandırmasıResource logs configuration
  • Konsol (komut istemi)Console (command prompt)
  • Etkin ve son dağıtımlar (yerel git sürekli dağıtımı için)Active and recent deployments (for local git continuous deployment)
  • Tahmini harcamaEstimated spend
  • Web testleriWeb tests
  • Sanal ağ (yalnızca bir sanal ağ daha önce yazma erişimi olan bir kullanıcı tarafından yapılandırılmışsa görünebilir).Virtual network (only visible to a reader if a virtual network has previously been configured by a user with write access).

Bu kutucukların herhangi birine erişemiyorsanız, yöneticinizden Web uygulamasına katkıda bulunan erişimi istemesi gerekir.If you can't access any of these tiles, you need to ask your administrator for Contributor access to the web app.

Yazma erişimi gerektiren Web uygulaması kaynaklarıWeb app resources that require write access

Web uygulamaları, çok sayıda farklı kaynağın varlığı tarafından karmaşıktır.Web apps are complicated by the presence of a few different resources that interplay. Birkaç Web sitesi içeren tipik bir kaynak grubu aşağıda verilmiştir:Here is a typical resource group with a couple of websites:

Web uygulaması kaynak grubu

Sonuç olarak, birine yalnızca Web uygulamasına erişim verirseniz, Azure portal web sitesi dikey penceresinde işlevselliğin çoğu devre dışıdır.As a result, if you grant someone access to just the web app, much of the functionality on the website blade in the Azure portal is disabled.

Bu öğeler, Web sitenize karşılık gelen App Service planına yazma erişimi gerektirir:These items require write access to the App Service plan that corresponds to your website:

  • Web uygulamasının fiyatlandırma katmanını görüntüleme (ücretsiz veya standart)Viewing the web app's pricing tier (Free or Standard)
  • Ölçeği yapılandırma (örnek sayısı, sanal makine boyutu, otomatik ölçeklendirme ayarları)Scale configuration (number of instances, virtual machine size, autoscale settings)
  • Kotalar (depolama, bant genişliği, CPU)Quotas (storage, bandwidth, CPU)

Bu öğeler, Web sitenizi içeren tüm kaynak grubuna yazma erişimi gerektirir:These items require write access to the whole Resource group that contains your website:

  • TLS/SSL sertifikaları ve bağlamaları (TLS/SSL sertifikaları aynı kaynak grubundaki ve coğrafi konumdaki siteler arasında paylaşılabilir)TLS/SSL Certificates and bindings (TLS/SSL certificates can be shared between sites in the same resource group and geo-location)
  • Uyarı kurallarıAlert rules
  • Otomatik ölçeklendirme ayarlarıAutoscale settings
  • Application Insights bileşenleriApplication insights components
  • Web testleriWeb tests

Yazma erişimi gerektiren sanal makine özellikleriVirtual machine features that require write access

Web uygulamalarına benzer şekilde, sanal makine dikey penceresindeki bazı özellikler sanal makineye veya kaynak grubundaki diğer kaynaklara yazma erişimi gerektirir.Similar to web apps, some features on the virtual machine blade require write access to the virtual machine, or to other resources in the resource group.

Sanal makineler, etki alanı adları, sanal ağlar, depolama hesapları ve uyarı kuralları ile ilgilidir.Virtual machines are related to Domain names, virtual networks, storage accounts, and alert rules.

Bu öğeler, sanal makineye yazma erişimi gerektirir:These items require write access to the Virtual machine:

  • Uç NoktalarEndpoints
  • IP adresleriIP addresses
  • DisklerDisks
  • UzantılarıExtensions

Bunlar, hem sanal makineye hem de kaynak grubuna (etki alanı adıyla birlikte) yazma erişimi gerektirir:These require write access to both the Virtual machine, and the Resource group (along with the Domain name) that it is in:

  • Kullanılabilirlik kümesiAvailability set
  • Yük dengeli kümeLoad balanced set
  • Uyarı kurallarıAlert rules

Bu kutucukların herhangi birine erişemiyorsanız, yöneticinizden kaynak grubuna katkıda bulunan erişimi isteyin.If you can't access any of these tiles, ask your administrator for Contributor access to the Resource group.

Azure Işlevleri ve yazma erişimiAzure Functions and write access

Azure işlevlerinin bazı özellikleri yazma erişimi gerektirir.Some features of Azure Functions require write access. Örneğin, bir kullanıcıya okuyucu rolü atanırsa, işlevleri bir işlev uygulamasında görüntüleyemeyecektir.For example, if a user is assigned the Reader role, they will not be able to view the functions within a function app. Portal görüntülenir (erişim yok).The portal will display (No access).

İşlev uygulamalarına erişim yok

Bir okuyucu, platform özellikleri sekmesine tıklayabilir ve ardından Tüm ayarlar ' a tıklayarak bir işlev uygulamasıyla ilgili bazı ayarları (bir Web uygulamasına benzer şekilde) görüntüleyebilir, ancak bu ayarlardan herhangi birini değiştiremezler.A reader can click the Platform features tab and then click All settings to view some settings related to a function app (similar to a web app), but they can't modify any of these settings. Bu özelliklere erişmek için katkıda bulunan rolüne ihtiyacınız olacaktır.To access these features, you will need the Contributor role.

Sonraki adımlarNext steps