إنشاء أو تحديث أدوار Azure المخصصة باستخدام مدخل Microsoft Azure

  • مقالة

إذا كانت الأدوار المضمنة في Azure لا تلبي الاحتياجات المحددة لمؤسستك، يمكنك إنشاء أدوار Azure المخصصة الخاصة بك. تماما مثل الأدوار المضمنة، يمكنك تعيين أدوار مخصصة للمستخدمين والمجموعات وكيانات الخدمة في نطاقات مجموعة الإدارة والاشتراك ومجموعة الموارد. يتم تخزين الأدوار المخصصة في دليل Microsoft Entra ويمكن مشاركتها عبر الاشتراكات. يمكن أن يكون لكل دليل ما يصل إلى 5000 دور مخصص. يمكن إنشاء الأدوار المخصصة باستخدام مدخل Azure أو Azure PowerShell أو Azure CLI أو واجهة برمجة تطبيقات REST. توضح هذه المقالة كيفية إنشاء أدوار مخصصة باستخدام مدخل Microsoft Azure.

المتطلبات الأساسية

لإنشاء أدوار مخصصة، تحتاج إلى:

الخطوة 1: تحديد الأذونات التي تحتاجها

لدى Azure آلاف الأذونات التي يمكنك تضمينها في دورك المخصص. فيما يلي بعض الطرق التي يمكن أن تساعدك في تحديد الأذونات التي تريد إضافتها إلى دورك المخصص:

الخطوة 2: اختر كيفية البدء

هناك ثلاث طرق يمكنك من خلالها البدء في إنشاء دور مخصص. يمكنك استنساخ دور موجود أو البدء من البداية أو البدء بملف JSON. أسهل طريقة هي العثور على دور موجود لديه معظم الأذونات التي تحتاجها ثم استنساخه وتعديله للسيناريو الخاص بك.

استنساخ دور

إذا لم يكن لدور موجود الأذونات التي تحتاجها تماما، يمكنك نسخه ثم تعديل الأذونات. اتبع هذه الخطوات لبدء استنساخ دور.

  1. في مدخل Microsoft Azure، افتح مجموعة إدارة أو اشتراك أو مجموعة موارد حيث تريد أن يكون الدور المخصص قابلا للتعيين ثم افتح التحكم في الوصول (IAM).

    تظهر لقطة الشاشة التالية صفحة التحكم في الوصول (IAM) المفتوحة للاشتراك.

    Access control (IAM) page for a subscription

  2. انقر فوق علامة التبويب أدوار لعرض قائمة بجميع الأدوار المضمنة والمخصصة.

  3. ابحث عن دور تريد نسخه مثل دور قارئ الفوترة.

  4. في نهاية الصف، انقر فوق علامة الحذف (...) ثم انقر فوق استنساخ.

    Clone context menu

    يؤدي ذلك إلى فتح محرر الأدوار المخصصة مع تحديد خيار Clone a role .

  5. تابع إلى الخطوة 3: الأساسيات.

البدء من الصفر

إذا كنت تفضل ذلك، يمكنك اتباع هذه الخطوات لبدء دور مخصص من البداية.

  1. في مدخل Microsoft Azure، افتح مجموعة إدارة أو اشتراك أو مجموعة موارد حيث تريد أن يكون الدور المخصص قابلا للتعيين ثم افتح التحكم في الوصول (IAM).

  2. انقر فوق إضافة ثم انقر فوق إضافة دور مخصص.

    Screenshot showing Add custom role menu.

    يؤدي ذلك إلى فتح محرر الأدوار المخصصة مع تحديد خيار البدء من الصفر .

  3. تابع إلى الخطوة 3: الأساسيات.

البدء من JSON

إذا كنت تفضل ذلك، يمكنك تحديد معظم قيم الدور المخصص في ملف JSON. يمكنك فتح الملف في محرر الأدوار المخصصة، وإجراء تغييرات إضافية، ثم إنشاء الدور المخصص. اتبع هذه الخطوات للبدء بملف JSON.

  1. إنشاء ملف JSON بالتنسيق التالي:

    {
    "properties": {
        "roleName": "",
        "description": "",
        "assignableScopes": [],
        "permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

  2. في ملف JSON، حدد قيما للخصائص المختلفة. فيما يلي مثال مع إضافة بعض القيم. للحصول على معلومات حول الخصائص المختلفة، راجع فهم تعريفات دور Azure.

    {
    "properties": {
        "roleName": "Billing Reader Plus",
        "description": "Read billing data and download invoices",
        "assignableScopes": [
            "/subscriptions/11111111-1111-1111-1111-111111111111"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Billing/*/read",
                    "Microsoft.Commerce/*/read",
                    "Microsoft.Consumption/*/read",
                    "Microsoft.Management/managementGroups/read",
                    "Microsoft.CostManagement/*/read",
                    "Microsoft.Support/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

  3. في مدخل Microsoft Azure، افتح صفحة التحكم في الوصول (IAM).

  4. انقر فوق إضافة ثم انقر فوق إضافة دور مخصص.

    Screenshot showing Add custom role menu.

    يؤدي ذلك إلى فتح محرر الأدوار المخصصة.

  5. في علامة التبويب Basics، في أذونات الأساس، حدد Start from JSON.

  6. إلى جانب المربع تحديد ملف، انقر فوق زر المجلد لفتح مربع الحوار فتح.

  7. حدد ملف JSON ثم انقر فوق فتح.

  8. تابع إلى الخطوة 3: الأساسيات.

الخطوة 3: الأساسيات

في علامة التبويب Basics ، يمكنك تحديد الاسم والوصف وأذونات الأساس لدورك المخصص.

  1. في المربع اسم الدور المخصص، حدد اسما للدور المخصص. يجب أن يكون الاسم فريدا لدليل Microsoft Entra. يمكن أن يتضمن الاسم أحرفا وأرقاما ومسافات وأحرفا خاصة.

  2. في مربع الوصف ، حدد وصفا اختياريا للدور المخصص. سيصبح هذا تلميح الأدوات للدور المخصص.

    يجب تعيين خيار أذونات الأساس بالفعل استنادا إلى الخطوة السابقة، ولكن يمكنك التغيير.

    Basics tab with values specified

الخطوة 4: الأذونات

في علامة التبويب أذونات ، يمكنك تحديد الأذونات لدورك المخصص. اعتمادا على ما إذا كنت قد قمت باستنساخ دور أو إذا بدأت باستخدام JSON، قد تسرد علامة التبويب الأذونات بالفعل بعض الأذونات.

Permissions tab of create custom role

إضافة أذونات أو إزالتها

اتبع هذه الخطوات لإضافة أذونات لدورك المخصص أو إزالتها.

  1. لإضافة أذونات، انقر فوق إضافة أذونات لفتح جزء إضافة أذونات.

    يسرد هذا الجزء جميع الأذونات المتوفرة المجمعة في فئات مختلفة بتنسيق بطاقة. تمثل كل فئة موفر موارد، وهي خدمة توفر موارد Azure.

  2. في مربع البحث عن إذن ، اكتب سلسلة للبحث عن الأذونات. على سبيل المثال، ابحث عن فاتورة للعثور على الأذونات المتعلقة بالفاتورة.

    سيتم عرض قائمة ببطاقات موفر الموارد استنادا إلى سلسلة البحث. للحصول على قائمة بكيفية تعيين موفري الموارد لخدمات Azure، راجع موفري الموارد لخدمات Azure.

    Add permissions pane with resource provider

  3. انقر فوق بطاقة موفر الموارد التي قد تحتوي على الأذونات التي تريد إضافتها إلى دورك المخصص، مثل فوترة Microsoft.

    يتم عرض قائمة بأذونات الإدارة لموفر الموارد هذا استنادا إلى سلسلة البحث.

    Add permissions list

  4. إذا كنت تبحث عن أذونات تنطبق على مستوى البيانات، فانقر فوق إجراءات البيانات. وإلا، اترك تبديل الإجراءات معينا إلى Actions لسرد الأذونات التي تنطبق على مستوى التحكم. لمزيد من المعلومات، حول الاختلافات بين مستوى التحكم ولوحة البيانات، راجع إجراءات التحكم والبيانات.

  5. إذا لزم الأمر، فقم بتحديث سلسلة البحث لتحسين البحث بشكل أكبر.

  6. بمجرد العثور على إذن واحد أو أكثر تريد إضافته إلى دورك المخصص، أضف علامة اختيار إلى جانب الأذونات. على سبيل المثال، أضف علامة اختيار بجوار أخرى: تنزيل الفاتورة لإضافة إذن لتنزيل الفواتير.

  7. انقر فوق إضافة لإضافة الإذن إلى قائمة الأذونات.

    تتم إضافة الإذن ك Actions أو DataActions.

    Permission added

  8. لإزالة الأذونات، انقر فوق أيقونة الحذف في نهاية الصف. في هذا المثال، نظرا لأن المستخدم لن يحتاج إلى القدرة على إنشاء تذاكر الدعم، Microsoft.Support/* يمكن حذف الإذن.

إضافة أذونات أحرف البدل

اعتمادا على كيفية اختيار البدء، قد يكون لديك أذونات مع أحرف البدل (*) في قائمة الأذونات الخاصة بك. تقوم حرف البدل (*) بتوسيع إذن لكل شيء يطابق سلسلة الإجراء التي تقدمها. على سبيل المثال، تضيف سلسلة أحرف البدل التالية جميع الأذونات المتعلقة بإدارة تكلفة Azure والتصدير. قد يتضمن هذا أيضا أي أذونات تصدير مستقبلية قد تتم إضافتها.

Microsoft.CostManagement/exports/*

إذا كنت تريد إضافة إذن حرف بدل جديد، فلا يمكنك إضافته باستخدام جزء إضافة أذونات . لإضافة إذن حرف بدل، يجب إضافته يدويا باستخدام علامة التبويب JSON . لمزيد من المعلومات، راجع الخطوة 6: JSON.

إشعار

يوصى بتحديد Actions حرف DataActions البدل (*) بدلا من استخدامه بشكل صريح. الوصول الإضافي والأذونات الممنوحة من خلال المستقبل Actions أو DataActions قد تكون سلوكا غير مرغوب فيه باستخدام حرف البدل.

استبعاد الأذونات

إذا كان دورك يحتوي على إذن حرف بدل (*) وتريد استبعاد أذونات معينة أو طرحها من إذن حرف البدل هذا، يمكنك استبعادها. على سبيل المثال، لنفترض أن لديك إذن حرف البدل التالي:

Microsoft.CostManagement/exports/*

إذا كنت لا تريد السماح بحذف تصدير، يمكنك استبعاد إذن الحذف التالي:

Microsoft.CostManagement/exports/delete

عند استبعاد إذن، تتم إضافته ك NotActions أو NotDataActions. يتم حساب أذونات الإدارة الفعالة عن طريق إضافة كافة Actions ثم طرح كافة NotActions. يتم حساب أذونات البيانات الفعالة عن طريق إضافة كافة DataActions ثم طرح كافة .NotDataActions

إشعار

استبعاد الإذن ليس هو نفس الرفض. يعد استبعاد الأذونات ببساطة طريقة ملائمة لطرح الأذونات من إذن حرف بدل.

  1. لاستبعاد إذن أو طرحه من إذن حرف بدل مسموح به، انقر فوق استبعاد الأذونات لفتح جزء استبعاد الأذونات.

    في هذا الجزء، يمكنك تحديد أذونات الإدارة أو البيانات التي يتم استبعادها أو طرحها.

  2. بمجرد العثور على إذن واحد أو أكثر تريد استبعاده، أضف علامة اختيار إلى جانب الأذونات ثم انقر فوق الزر إضافة .

    Exclude permissions pane - permission selected

    تتم إضافة الإذن ك أو NotActionsNotDataActions.

    Permission excluded

الخطوة 5: النطاقات القابلة للتعيين

في علامة التبويب النطاقات القابلة للتعيين ، يمكنك تحديد مكان توفر دورك المخصص للتعيين، مثل مجموعة الإدارة أو الاشتراكات أو مجموعات الموارد. استنادا إلى كيفية اختيار البدء، قد تسرد علامة التبويب هذه بالفعل النطاق الذي فتحت فيه صفحة التحكم في الوصول (IAM).

يمكنك تعريف مجموعة إدارة واحدة فقط في نطاقات قابلة للتعيين. تعيين نطاق قابل للتعيين لنطاق الجذر ("/") غير مدعوم.

  1. انقر فوق إضافة نطاقات قابلة للتعيين لفتح جزء إضافة نطاقات قابلة للتعيين.

    Assignable scopes tab

  2. انقر فوق نطاق واحد أو أكثر تريد استخدامه، وعادة ما يكون اشتراكك.

    Add assignable scopes

  3. انقر فوق الزر إضافة لإضافة نطاق قابل للتعيين.

الخطوة 6: JSON

في علامة التبويب JSON ، ترى دورك المخصص منسقا في JSON. إذا أردت، يمكنك تحرير JSON مباشرة.

  1. لتحرير JSON، انقر فوق تحرير.

    JSON tab showing custom role

  2. قم بإجراء تغييرات على JSON.

    إذا لم يتم تنسيق JSON بشكل صحيح، فسترى خطا أحمر متعرجا ومؤشرا في التوثيق العمودي.

  3. عند الانتهاء من التحرير، انقر فوق حفظ.

الخطوة 7: مراجعة + إنشاء

في علامة التبويب Review + create ، يمكنك مراجعة إعدادات الدور المخصصة.

  1. راجع إعدادات الدور المخصص.

    Review + create tab

  2. انقر فوق إنشاء لإنشاء دورك المخصص.

    بعد لحظات قليلة، يظهر مربع رسالة يشير إلى إنشاء دورك المخصص بنجاح.

    Create custom role message

    إذا تم الكشف عن أي أخطاء، فسيتم عرض رسالة.

    Review + create error

  3. عرض دورك المخصص الجديد في قائمة الأدوار . إذا لم تتمكن من رؤية دورك المخصص، فانقر فوق تحديث.

    قد يستغرق ظهور دورك المخصص في كل مكان بضع دقائق.

الأدوار المخصصة بالقائمة

اتبع هذه الخطوات لعرض أدوارك المخصصة.

  1. افتح مجموعة إدارة أو اشتراك أو مجموعة موارد ثم افتح التحكم في الوصول (IAM).

  2. انقر فوق علامة التبويب أدوار لعرض قائمة بجميع الأدوار المضمنة والمخصصة.

  3. في قائمة النوع ، حدد CustomRole لمشاهدة أدوارك المخصصة فقط.

    إذا قمت للتو بإنشاء دورك المخصص ولم تتمكن من رؤيته في القائمة، فانقر فوق تحديث.

    Custom role list

تحديث الدور المخصص

  1. كما هو موضح سابقا في هذه المقالة، افتح قائمة الأدوار المخصصة.

  2. انقر فوق علامة الحذف (...) للدور المخصص الذي تريد تحديثه، ثم انقر فوق تحرير. لاحظ أنه لا يمكنك تحديث الأدوار المضمنة.

    يتم فتح الدور المخصص في المحرر.

    Custom role menu

  3. استخدم علامات التبويب المختلفة لتحديث الدور المخصص.

  4. بمجرد الانتهاء من التغييرات، انقر فوق علامة التبويب مراجعة + إنشاء لمراجعة التغييرات.

  5. انقر فوق الزر تحديث لتحديث دورك المخصص.

حذف الدور المخصص

  1. قم بإزالة أي تعيينات دور تستخدم الدور المخصص. لمزيد من المعلومات، راجع البحث عن تعيينات الأدوار لحذف دور مخصص.

  2. كما هو موضح سابقا في هذه المقالة، افتح قائمة الأدوار المخصصة.

  3. انقر فوق علامة الحذف (...) للدور المخصص الذي تريد حذفه، ثم انقر فوق حذف.

    Screenshot of a list of custom roles that can be selected for deletion.

    قد يستغرق حذف دورك المخصص بالكامل بضع دقائق.

الخطوات التالية