التشغيل السريع: تعيين دور Azure باستخدام Bicep

يساعدك التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) على إدارة من لديه حق الوصول إلى موارد Azure. في عملية التشغيل السريع هذه، يمكنك إنشاء مجموعة موارد ومنح المستخدم حق الوصول لإنشاء وإدارة الأجهزة الظاهرية في مجموعة الموارد. يستخدم هذا التشغيل السريع Bicep لمنح حق الوصول.

Bicep هي لغة المجال المخصصة (DSL) التي تستخدم بناء الجملة التعريفي لتوزيع موارد Azure. توفر بناء جملة مختصر، وسلامة موثوقة من النوع، ودعمًا لإعادة استخدام التعليمة البرمجية. تقدم Bicep أفضل تجربة تأليف لحلول البنية الأساسية باعتبارها تعليمة برمجية في Azure.

المتطلبات الأساسية

لتعيين أدوار Azure وإزالة تعيينات الأدوار، يجب أن يكون لديك:

• في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.
• Microsoft.Authorization/roleAssignments/write والأذونات Microsoft.Authorization/roleAssignments/delete ، مثل مسؤول التحكم في الوصول المستند إلى الدور.
• لتعيين دور، يجب عليك تحديد ثلاثة عناصر: أساس الأمان، وتعريف الدور، والنطاق. بالنسبة إلى هذه البداية السريعة، يكون مبدأ الأمان هو أنت أو مستخدم آخر في دليلك، وتعريف الدور هو Virtual Machine Contributor، والنطاق هو مجموعة موارد تقوم أن بتحديدها.

مراجعة ملف Bicep

ملف Bicep المستخدم في هذا التشغيل السريع مأخوذ من قوالب التشغيل السريع لـ Azure. يحتوي ملف Bicep على معلمتين وقسم الموارد. في قسم الموارد، لاحظ أنه يحتوي على ثلاثة عناصر لتعيين الدور: أساس الأمان، وتعريف الدور، والنطاق.

@description('Specifies the role definition ID used in the role assignment.')
param roleDefinitionID string

@description('Specifies the principal ID assigned to the role.')
param principalId string

var roleAssignmentName= guid(principalId, roleDefinitionID, resourceGroup().id)
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: roleAssignmentName
  properties: {
    roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionID)
    principalId: principalId
  }
}

output name string = roleAssignment.name
output resourceGroupName string = resourceGroup().name
output resourceId string = roleAssignment.id

إن الموارد المحددة في الملف تشمل ما يلي:

• Microsoft.Authorization/roleAssignments

نشر ملف Bicep

1. احفظ ملف Bicep بالاسم main.bicep على الكمبيوتر المحلي الخاص بك.

2. بادر بتوزيع ملف Bicep باستخدام Azure CLI أو Azure PowerShell.

   المبادره القطريه

   az group create --name exampleRG --location eastus
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters roleDefinitionID=9980e02c-c2be-4d73-94e8-173b1dc7cf3c principalId=<principal-id>
   

   بوويرشيل

   New-AzResourceGroup -Name exampleRG -Location eastus
   New-AzResourceGroupDeployment -ResourceGroupName exampleRG -TemplateFile ./main.bicep -roleDefinitionID "9980e02c-c2be-4d73-94e8-173b1dc7cf3c" -principalId "<principal-id>"
   

إشعار

استبدل <principal-id> بالمعرف الأساسي المعين للدور.

عند الانتهاء من عملية النشر، يجب أن ترى رسالة تشير إلى نجاح عملية النشر.

مراجعة الموارد الموزعة

استخدم مدخل Microsoft Azure أو Azure CLI أو Azure PowerShell لإدراج الموارد الموزعة في مجموعة الموارد.

المبادره القطريه

az role assignment list --resource-group exampleRG

بوويرشيل

Get-AzRoleAssignment -ResourceGroupName exampleRG

تنظيف الموارد

عند عدم الحاجة، استخدم مدخل Azure أو Azure CLI أو Azure PowerShell لإزالة تعيين الدور. لمزيد من المعلومات، راجع إزالة تعيينات دور Azure.

استخدم مدخل Azure أو Azure CLI أو Azure PowerShell لحذف مجموعة الموارد.

المبادره القطريه

az group delete --name exampleRG

بوويرشيل

Remove-AzResourceGroup -Name exampleRG

الخطوات التالية

البرنامج التعليمي: منح المستخدم حق الوصول إلى موارد Azure باستخدام مدخل Microsoft Azure