Vytváření nebo aktualizace vlastních rolí Azure pomocí webu Azure Portal

Pokud předdefinované role Azure nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role Azure. Stejně jako předdefinované role můžete přiřadit vlastní role uživatelům, skupinám a instančním objektům ve skupině pro správu (jenom ve verzi Preview), rozsahech předplatného a skupiny prostředků. Vlastní role se ukládají do adresáře Azure Active Directory (Azure AD) a dají se sdílet napříč předplatnými. Každý adresář může mít až 5000 vlastních rolí. Vlastní role je možné vytvořit pomocí Azure Portal, Azure PowerShell, Azure CLI nebo rozhraní REST API. Tento článek popisuje, jak vytvořit vlastní role pomocí Azure Portal.

Požadavky

K vytváření vlastních rolí potřebujete:

Krok 1: Určení potřebných oprávnění

Azure má tisíce oprávnění, která můžete potenciálně zahrnout do vlastní role. Tady jsou některé metody, které vám můžou pomoct určit oprávnění, která chcete přidat do vlastní role:

Krok 2: Zvolte, jak začít

Existují tři způsoby, jak začít vytvářet vlastní roli. Existující roli můžete naklonovat, začít od začátku nebo začít se souborem JSON. Nejjednodušším způsobem je najít existující roli, která má většinu potřebných oprávnění, a pak ji naklonovat a upravit pro váš scénář.

Klonování role

Pokud existující role nemá potřebná oprávnění, můžete ji naklonovat a pak oprávnění upravit. Pokud chcete začít klonovat roli, postupujte podle těchto kroků.

  1. V Azure Portal otevřete předplatné nebo skupinu prostředků, kde chcete přiřadit vlastní roli, a pak otevřete řízení přístupu (IAM).

    Následující snímek obrazovky ukazuje stránku Řízení přístupu (IAM) otevřenou pro předplatné.

    Stránka řízení přístupu (IAM) pro předplatné

  2. Kliknutím na kartu Role zobrazíte seznam všech předdefinovaných a vlastních rolí.

  3. Vyhledejte roli, kterou chcete klonovat, například roli Čtenář fakturace.

  4. Klikněte na tři tečky ( ... ) na konci řádku a pak klikněte na Klonovat.

    Místní nabídka Klonování

    Tím se otevře editor vlastních rolí s vybranou možností Klonovat roli .

  5. Přejděte ke kroku 3: Základy.

Začátek od nuly

Pokud chcete, můžete podle těchto kroků začít vlastní roli úplně od začátku.

  1. V Azure Portal otevřete předplatné nebo skupinu prostředků, kde chcete přiřadit vlastní roli, a pak otevřete řízení přístupu (IAM).

  2. Klepněte na tlačítko Přidat a klepněte na tlačítko Přidat vlastní roli.

    Nabídka Přidat vlastní roli

    Tím se otevře editor vlastních rolí s vybranou možností Start od začátku .

  3. Přejděte ke kroku 3: Základy.

Začít z JSON

Pokud chcete, můžete zadat většinu vlastních hodnot rolí v souboru JSON. Soubor můžete otevřít v editoru vlastních rolí, provést další změny a pak vytvořit vlastní roli. Pokud chcete začít se souborem JSON, postupujte podle těchto kroků.

  1. Vytvořte soubor JSON s následujícím formátem:

    {
        "properties": {
            "roleName": "",
            "description": "",
            "assignableScopes": [],
            "permissions": [
                {
                    "actions": [],
                    "notActions": [],
                    "dataActions": [],
                    "notDataActions": []
                }
            ]
        }
    }
    
  2. V souboru JSON zadejte hodnoty pro různé vlastnosti. Tady je příklad s přidanými hodnotami. Informace o různých vlastnostech najdete v tématu Vysvětlení definic rolí Azure.

    {
        "properties": {
            "roleName": "Billing Reader Plus",
            "description": "Read billing data and download invoices",
            "assignableScopes": [
                "/subscriptions/11111111-1111-1111-1111-111111111111"
            ],
            "permissions": [
                {
                    "actions": [
                        "Microsoft.Authorization/*/read",
                        "Microsoft.Billing/*/read",
                        "Microsoft.Commerce/*/read",
                        "Microsoft.Consumption/*/read",
                        "Microsoft.Management/managementGroups/read",
                        "Microsoft.CostManagement/*/read",
                        "Microsoft.Support/*"
                    ],
                    "notActions": [],
                    "dataActions": [],
                    "notDataActions": []
                }
            ]
        }
    }
    
  3. V Azure Portal otevřete stránku Řízení přístupu (IAM).

  4. Klepněte na tlačítko Přidat a klepněte na tlačítko Přidat vlastní roli.

    Nabídka Přidat vlastní roli

    Tím se otevře editor vlastních rolí.

  5. Na kartě Základy v oprávněních podle směrného plánu vyberte Spustit z JSON.

  6. Vedle pole Vybrat soubor klikněte na tlačítko složky a otevřete dialogové okno Otevřít.

  7. Vyberte soubor JSON a klikněte na Otevřít.

  8. Přejděte ke kroku 3: Základy.

Krok 3: Základy

Na kartě Základy zadáte název, popis a oprávnění směrného plánu pro vlastní roli.

  1. Do pole Vlastní název role zadejte název vlastní role. Název musí být jedinečný pro adresář Azure AD. Název může obsahovat písmena, číslice, mezery a speciální znaky.

  2. Do pole Popis zadejte volitelný popis vlastní role. Tím se stane popis vlastní role.

    Možnost Oprávnění podle směrného plánu by už měla být nastavená na základě předchozího kroku, ale můžete změnit.

    Karta Základy se zadanými hodnotami

Krok 4: Oprávnění

Na kartě Oprávnění zadáte oprávnění pro vlastní roli. V závislosti na tom, jestli jste naklonovali roli nebo jestli jste začali s JSON, může karta Oprávnění již obsahovat některá oprávnění.

Karta Oprávnění pro vytvoření vlastní role

Přidání nebo odebrání oprávnění

Pokud chcete přidat nebo odebrat oprávnění pro vlastní roli, postupujte podle těchto kroků.

  1. Pokud chcete přidat oprávnění, kliknutím na Přidat oprávnění otevřete podokno Přidat oprávnění.

    Toto podokno obsahuje seznam všech dostupných oprávnění seskupených do různých kategorií ve formátu karty. Každá kategorie představuje poskytovatele prostředků, což je služba, která poskytuje prostředky Azure.

  2. Do pole Hledat oprávnění zadejte řetězec, který chcete vyhledat oprávnění. Vyhledejte například fakturu a vyhledejte oprávnění související s fakturou.

    Zobrazí se seznam karet poskytovatele prostředků na základě vašeho vyhledávacího řetězce. Seznam způsobu mapování poskytovatelů prostředků na služby Azure najdete v tématu Poskytovatelé prostředků pro služby Azure.

    Podokno Přidat oprávnění s poskytovatelem prostředků

  3. Klikněte na kartu poskytovatele prostředků, která může mít oprávnění, která chcete přidat do vlastní role, například fakturace Microsoftu.

    Zobrazí se seznam oprávnění pro správu tohoto poskytovatele prostředků na základě vašeho vyhledávacího řetězce.

    Přidání seznamu oprávnění

  4. Pokud hledáte oprávnění, která se vztahují na rovinu dat, klikněte na Akce dat. V opačném případě ponechte přepínač akcí nastavený na Akce na seznam oprávnění, která se vztahují na řídicí rovinu. Další informace o rozdílech mezi řídicí rovinou a rovinou dat najdete v tématu Řízení a akce dat.

  5. V případě potřeby aktualizujte hledaný řetězec, abyste ho dále upřesněte.

  6. Jakmile najdete jedno nebo více oprávnění, která chcete přidat do vlastní role, přidejte vedle oprávnění značku zaškrtnutí. Můžete například přidat značku zaškrtnutí vedle položky Jiné: Stáhnout fakturu a přidat oprávnění ke stažení faktur.

  7. Kliknutím na Přidat přidáte oprávnění do seznamu oprávnění.

    Oprávnění se přidá jako nebo Actions .DataActions

    Přidáno oprávnění

  8. Pokud chcete oprávnění odebrat, klikněte na ikonu odstranění na konci řádku. V tomto příkladu, protože uživatel nebude potřebovat možnost vytvářet lístky podpory, Microsoft.Support/* je možné oprávnění odstranit.

Přidání zástupných znaků

V závislosti na tom, jak jste se rozhodli začít, můžete mít oprávnění se zástupnými cardy (*) v seznamu oprávnění. Zástupný znak (*) rozšiřuje oprávnění ke všemu, co odpovídá zadanému řetězci akce. Například následující zástupný řetězec přidá všechna oprávnění související se službou Azure Cost Management a exporty. To by také zahrnovalo všechna budoucí oprávnění k exportu, která by mohla být přidána.

Microsoft.CostManagement/exports/*

Pokud chcete přidat nové oprávnění se zástupným znakem, nemůžete ho přidat pomocí podokna Přidat oprávnění . Pokud chcete přidat oprávnění se zástupným znakem, musíte ho přidat ručně pomocí karty JSON . Další informace najdete v kroku 6: JSON.

Vyloučení oprávnění

Pokud má vaše role oprávnění se zástupným znakem (*) a chcete z oprávnění se zástupným znakem vyloučit nebo odečíst konkrétní oprávnění, můžete je vyloučit. Řekněme například, že máte následující oprávnění se zástupným znakem:

Microsoft.CostManagement/exports/*

Pokud nechcete povolit odstranění exportu, můžete vyloučit následující oprávnění k odstranění:

Microsoft.CostManagement/exports/delete

Když oprávnění vyloučíte, přidá se jako nebo NotActionsNotDataActions. Efektivní oprávnění pro správu se počítají tak, že se přičtou všechny Actions a pak odečtou všechny .NotActions Efektivní oprávnění k datům se počítají tak, že se přičtou všechny objekty DataActions a pak se odečtou všechny NotDataActions.

Poznámka

Vyloučení oprávnění není stejné jako odepření. Vyloučení oprávnění je jednoduše pohodlný způsob, jak odečíst oprávnění ze zástupných znaků.

  1. Chcete-li vyloučit nebo odečíst oprávnění od povoleného oprávnění se zástupným znakem, kliknutím na tlačítko Vyloučit oprávnění otevřete podokno Vyloučit oprávnění.

    V tomto podokně zadáte oprávnění pro správu nebo data, která jsou vyloučena nebo odečtena.

  2. Jakmile najdete jedno nebo více oprávnění, která chcete vyloučit, přidejte vedle oprávnění značku zaškrtnutí a klikněte na tlačítko Přidat .

    Podokno Vyloučit oprávnění – vybrané oprávnění

    Oprávnění se přidá jako nebo NotActionsNotDataActions.

    Vyloučená oprávnění

Krok 5: Přiřaditelné obory

Na kartě Přiřaditelné obory určíte, kde je k dispozici vlastní role pro přiřazení, jako je skupina pro správu, předplatná nebo skupiny prostředků. V závislosti na tom, jak jste se rozhodli začít, může tato karta již zobrazit obor, na kterém jste otevřeli stránku Řízení přístupu (IAM).

V přiřaditelných oborech můžete definovat pouze jednu skupinu pro správu. Přidání skupiny pro správu do přiřaditelných oborů je aktuálně ve verzi Preview. Nastavení přiřaditelného oboru kořenovému oboru ("/") se nepodporuje.

  1. Kliknutím na Přidat přiřaditelné obory otevřete podokno Přidat přiřaditelné obory.

    Karta Přiřaditelné obory

  2. Klikněte na jeden nebo více oborů, které chcete použít, obvykle své předplatné.

    Přidání přiřaditelných oborů

  3. Kliknutím na tlačítko Přidat přidáte přiřaditelný obor.

Krok 6: JSON

Na kartě JSON uvidíte vlastní roli formátovanou ve formátu JSON. Pokud chcete, můžete přímo upravit JSON. Pokud chcete přidat oprávnění se zástupným znakem (*), musíte použít tuto kartu.

  1. Pokud chcete upravit JSON, klikněte na Upravit.

    Karta JSON zobrazující vlastní roli

  2. Proveďte změny ve formátu JSON.

    Pokud json není správně naformátovaný, uvidíte červenou zubatou čáru a indikátor ve svislém hřbetu.

  3. Po dokončení úprav klikněte na Uložit.

Krok 7: Kontrola a vytvoření

Na kartě Zkontrolovat a vytvořit můžete zkontrolovat vlastní nastavení role.

  1. Zkontrolujte vlastní nastavení role.

    Karta Zkontrolovat a vytvořit

  2. Kliknutím na Vytvořit vytvoříte vlastní roli.

    Po chvíli se zobrazí okno se zprávou s oznámením, že se vaše vlastní role úspěšně vytvořila.

    Vytvoření zprávy vlastní role

    Pokud se zjistí nějaké chyby, zobrazí se zpráva.

    Kontrola a chyba vytvoření

  3. Umožňuje zobrazit novou vlastní roli v seznamu Rolí . Pokud vlastní roli nevidíte, klikněte na Aktualizovat.

    Může trvat několik minut, než se vaše vlastní role objeví všude.

Výpis vlastních rolí

Pokud chcete zobrazit vlastní role, postupujte podle těchto kroků.

  1. Otevřete předplatné nebo skupinu prostředků a pak otevřete Řízení přístupu (IAM).

  2. Kliknutím na kartu Role zobrazíte seznam všech předdefinovaných a vlastních rolí.

  3. V seznamu Typ vyberte CustomRole a zobrazte si jenom vlastní role.

    Pokud jste právě vytvořili vlastní roli a v seznamu ji nevidíte, klikněte na Aktualizovat.

    Vlastní seznam rolí

Aktualizace vlastní role

  1. Jak je popsáno výše v tomto článku, otevřete seznam vlastních rolí.

  2. Klikněte na tři tečky (...) pro vlastní roli, kterou chcete aktualizovat, a potom klikněte na upravit. Mějte na paměti, že předdefinované role není možné aktualizovat.

    Vlastní role se otevře v editoru.

    Nabídka vlastní role

  3. Na různých kartách můžete vlastní roli aktualizovat.

  4. Až změny dokončíte, klikněte na kartu Zkontrolovat a vytvořit a zkontrolujte provedené změny.

  5. Kliknutím na tlačítko Aktualizovat aktualizujte vlastní roli.

Odstranění vlastní role

  1. Odeberte všechna přiřazení rolí, která používají vlastní roli. Další informace najdete v tématu Vyhledání přiřazení rolí k odstranění vlastní role.

  2. Jak je popsáno výše v tomto článku, otevřete seznam vlastních rolí.

  3. Klikněte na tři tečky (...) pro vlastní roli, kterou chcete odstranit, a potom klikněte na Odstranit.

    Snímek obrazovky znázorňující seznam vlastních rolí, které je možné vybrat k odstranění

    Úplné odstranění vlastní role může trvat několik minut.

Další kroky