Vytvoření nebo aktualizace vlastních rolí pomocí portálu Azure Portal
Pokud předdefinované role Azure nevyhovují konkrétním potřebám vaší organizace, můžete vytvořit vlastní role Azure. Stejně jako předdefinované role můžete uživatelům, skupinám a instančním objektům přiřadit vlastní role v oborech skupin pro správu, předplatných a skupin prostředků. Vlastní role jsou uložené v adresáři Microsoft Entra a dají se sdílet mezi předplatnými. Každý adresář může mít až 5 000 vlastních rolí. Vlastní role je možné vytvořit pomocí webu Azure Portal, Azure PowerShellu, Azure CLI nebo rozhraní REST API. Tento článek popisuje, jak vytvořit vlastní role pomocí webu Azure Portal.
Předpoklady
K vytváření vlastních rolí potřebujete:
- Oprávnění k vytváření vlastních rolí, například Vlastník nebo Správce přístupu uživatelů
Krok 1: Určení potřebných oprávnění
Azure má tisíce oprávnění, která můžete potenciálně zahrnout do vlastní role. Tady jsou některé metody, které vám můžou pomoct určit oprávnění, která chcete přidat do vlastní role:
- Podívejte se na existující předdefinované role.
- Uveďte služby Azure, ke které chcete udělit přístup.
- Určete poskytovatele prostředků, kteří se mapuje na služby Azure. Metoda vyhledávání je popsána dále v kroku 4: Oprávnění.
- Vyhledejte dostupná oprávnění a vyhledejte oprávnění, která chcete zahrnout. Metoda vyhledávání je popsána dále v kroku 4: Oprávnění.
Krok 2: Volba způsobu spuštění
Existují tři způsoby, jak začít vytvářet vlastní roli. Můžete naklonovat existující roli, začít od začátku nebo začít se souborem JSON. Nejjednodušším způsobem je najít existující roli, která má většinu potřebných oprávnění, a pak ji naklonovat a upravit pro váš scénář.
Klonovat roli
Pokud existující role nemá potřebná oprávnění, můžete ji naklonovat a potom oprávnění upravit. Pokud chcete začít klonovat roli, postupujte takto.
Na webu Azure Portal otevřete skupinu pro správu, předplatné nebo skupinu prostředků, kde chcete přiřadit vlastní roli, a pak otevřete řízení přístupu (IAM).
Následující snímek obrazovky ukazuje stránku Řízení přístupu (IAM) otevřenou pro předplatné.
Kliknutím na kartu Role zobrazíte seznam všech předdefinovaných a vlastních rolí.
Vyhledejte roli, kterou chcete klonovat, například roli Čtenář fakturace.
Klikněte na tři tečky (...) na konci řádku a pak klikněte na Klonovat.
Otevře se editor vlastních rolí s vybranou možností Klonovat roli .
Přejděte ke kroku 3: Základy.
Začátek od nuly
Pokud chcete, můžete podle těchto kroků začít vlastní roli úplně od začátku.
Na webu Azure Portal otevřete skupinu pro správu, předplatné nebo skupinu prostředků, kde chcete přiřadit vlastní roli, a pak otevřete řízení přístupu (IAM).
Klepněte na tlačítko Přidat a potom klepněte na tlačítko Přidat vlastní roli.
Otevře se editor vlastních rolí s vybranou možností Spustit od začátku .
Přejděte ke kroku 3: Základy.
Začít u kódu JSON
Pokud chcete, můžete v souboru JSON zadat většinu vlastních hodnot rolí. Soubor můžete otevřít v editoru vlastních rolí, provést další změny a pak vytvořit vlastní roli. Pokud chcete začít se souborem JSON, postupujte podle těchto kroků.
Vytvořte soubor JSON s následujícím formátem:
{ "properties": { "roleName": "", "description": "", "assignableScopes": [], "permissions": [ { "actions": [], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }V souboru JSON zadejte hodnoty pro různé vlastnosti. Tady je příklad s přidanými hodnotami. Informace o různých vlastnostech najdete v tématu Vysvětlení definic rolí Azure.
{ "properties": { "roleName": "Billing Reader Plus", "description": "Read billing data and download invoices", "assignableScopes": [ "/subscriptions/11111111-1111-1111-1111-111111111111" ], "permissions": [ { "actions": [ "Microsoft.Authorization/*/read", "Microsoft.Billing/*/read", "Microsoft.Commerce/*/read", "Microsoft.Consumption/*/read", "Microsoft.Management/managementGroups/read", "Microsoft.CostManagement/*/read", "Microsoft.Support/*" ], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }Na webu Azure Portal otevřete stránku Řízení přístupu (IAM ).
Klepněte na tlačítko Přidat a potom klepněte na tlačítko Přidat vlastní roli.
Tím se otevře editor vlastních rolí.
Na kartě Základy vyberte v části Oprávnění Směrný plán možnost Začít z FORMÁTU JSON.
Vedle pole Vybrat soubor kliknutím na tlačítko složky otevřete dialogové okno Otevřít.
Vyberte soubor JSON a klikněte na Otevřít.
Přejděte ke kroku 3: Základy.
Krok 3: Základy
Na kartě Základy zadáte název, popis a oprávnění směrného plánu pro vlastní roli.
Do pole Název vlastní role zadejte název vlastní role. Název musí být jedinečný pro adresář Microsoft Entra. Název může obsahovat písmena, číslice, mezery a speciální znaky.
Do pole Popis zadejte volitelný popis vlastní role. Tento popis se stane popisem pro vlastní roli.
Možnost Oprávnění podle směrného plánu by už měla být nastavená na základě předchozího kroku, ale můžete ji změnit.
Krok 4: Oprávnění
Na kartě Oprávnění zadáte oprávnění pro vlastní roli. V závislosti na tom, jestli jste naklonovali roli nebo jestli jste začali s JSON, může karta Oprávnění již obsahovat některá oprávnění.
Přidání nebo odebrání oprávnění
Pokud chcete přidat nebo odebrat oprávnění pro vlastní roli, postupujte podle těchto kroků.
Pokud chcete přidat oprávnění, kliknutím na Přidat oprávnění otevřete podokno Přidat oprávnění.
Toto podokno obsahuje seznam všech dostupných oprávnění seskupených do různých kategorií ve formátu karty. Každá kategorie představuje poskytovatele prostředků, což je služba, která poskytuje prostředky Azure.
Do pole Hledat oprávnění zadejte řetězec, který chcete vyhledat oprávnění. Vyhledejte například fakturu a vyhledejte oprávnění související s fakturou.
Zobrazí se seznam karet poskytovatele prostředků na základě vašeho vyhledávacího řetězce. Seznam mapování poskytovatelů prostředků na služby Azure najdete v tématu Poskytovatelé prostředků pro služby Azure.
Klikněte na kartu poskytovatele prostředků, která můžou mít oprávnění, která chcete přidat do vlastní role, například fakturace Microsoftu.
Zobrazí se seznam oprávnění pro správu daného poskytovatele prostředků na základě vašeho hledaného řetězce.
Pokud hledáte oprávnění, která platí pro rovinu dat, klikněte na Akce dat. V opačném případě ponechte přepínač akcí nastavený na Akce na seznam oprávnění, která se vztahují na řídicí rovinu. Další informace o rozdílech mezi řídicí rovinou a rovinou dat najdete v tématu Řízení a akce dat.
V případě potřeby aktualizujte hledaný řetězec, aby se hledání dále upřesní.
Jakmile najdete jedno nebo více oprávnění, která chcete přidat do vlastní role, přidejte vedle oprávnění značku zaškrtnutí. Můžete například přidat značku zaškrtnutí vedle položky Jiné: Stáhnout fakturu a přidat oprávnění ke stažení faktur.
Kliknutím na Přidat přidáte oprávnění do seznamu oprávnění.
Oprávnění se přidá jako
ActionsneboDataActions.
Pokud chcete oprávnění odebrat, klikněte na ikonu odstranění na konci řádku. V tomto příkladu, protože uživatel nebude potřebovat možnost vytvářet lístky podpory,
Microsoft.Support/*je možné oprávnění odstranit.
Přidání oprávnění se zástupným znakem
V závislosti na tom, jak jste se rozhodli začít, můžete mít oprávnění se zástupnými cardy (*) v seznamu oprávnění. Zástupný znak (*) rozšiřuje oprávnění ke všemu, co odpovídá zadanému řetězci akce. Například následující řetězec se zástupnými znaky přidá všechna oprávnění související se službou Azure Cost Management a exporty. To by také zahrnovalo všechna budoucí oprávnění k exportu, která by mohla být přidána.
Microsoft.CostManagement/exports/*
Pokud chcete přidat nové oprávnění se zástupným znakem, nemůžete ho přidat pomocí podokna Přidat oprávnění . Pokud chcete přidat oprávnění se zástupným znakem, musíte ho přidat ručně pomocí karty JSON . Další informace najdete v kroku 6: JSON.
Poznámka:
Místo použití zástupného* znaku () doporučujeme zadat a DataActions explicitně ho zadatActions. Další přístup a oprávnění udělená v budoucnu Actions nebo DataActions může být nežádoucím chováním pomocí zástupné dokumentace.
Vyloučení oprávnění
Pokud má vaše role oprávnění se zástupným znakem (*) a chcete z oprávnění se zástupným znakem vyloučit nebo odečíst konkrétní oprávnění, můžete je vyloučit. Řekněme například, že máte následující oprávnění se zástupným znakem:
Microsoft.CostManagement/exports/*
Pokud nechcete povolit odstranění exportu, můžete vyloučit následující oprávnění k odstranění:
Microsoft.CostManagement/exports/delete
Když oprávnění vyloučíte, přidá se jako NotActions nebo NotDataActions. Efektivní oprávnění pro správu se vypočítá tak, že se přičtou Actions všechny a pak odečtou NotActionsvšechny . Efektivní oprávnění k datům se vypočítá tak, že se přičtou všechna DataActions data a pak odečtou NotDataActionsvšechny .
Poznámka:
Vyloučení oprávnění není stejné jako odepření. Vyloučení oprávnění je jednoduše pohodlný způsob, jak odečíst oprávnění ze zástupných znaků.
Chcete-li vyloučit nebo odečíst oprávnění od povoleného oprávnění se zástupným znakem, kliknutím na možnost Vyloučit oprávnění otevřete podokno Vyloučit oprávnění.
V tomto podokně zadáte oprávnění pro správu nebo data, která jsou vyloučena nebo odečtena.
Jakmile najdete jedno nebo více oprávnění, která chcete vyloučit, přidejte vedle oprávnění značku zaškrtnutí a klikněte na tlačítko Přidat .
Oprávnění se přidá jako
NotActionsneboNotDataActions.
Krok 5: Přiřaditelné obory
Na kartě Přiřaditelné obory určíte, kde je vaše vlastní role k dispozici pro přiřazení, jako je skupina pro správu, předplatná nebo skupiny prostředků. V závislosti na tom, jak jste se rozhodli začít, může tato karta již obsahovat seznam rozsahu, na kterém jste otevřeli stránku Řízení přístupu (IAM).
V přiřaditelných oborech můžete definovat pouze jednu skupinu pro správu. Nastavení přiřaditelného oboru kořenovému oboru ("/") není podporováno.
Kliknutím na Přidat přiřaditelné obory otevřete podokno Přidat přiřaditelné obory.
Klikněte na jeden nebo více oborů, které chcete použít, obvykle vaše předplatné.
Kliknutím na tlačítko Přidat přidejte přiřaditelný obor.
Krok 6: JSON
Na kartě JSON uvidíte vlastní roli formátovanou ve formátu JSON. Pokud chcete, můžete json přímo upravit.
Pokud chcete upravit JSON, klikněte na Upravit.
Proveďte změny ve formátu JSON.
Pokud JSON není správně naformátovaný, uvidíte červenou čáru a indikátor ve svislém hřbetu.
Po dokončení úprav klikněte na Uložit.
Krok 7: Kontrola a vytvoření
Na kartě Zkontrolovat a vytvořit můžete zkontrolovat vlastní nastavení role.
Zkontrolujte vlastní nastavení role.
Kliknutím na Vytvořit vytvoříte vlastní roli.
Po chvíli se zobrazí okno se zprávou, že vaše vlastní role byla úspěšně vytvořena.
Pokud se zjistí nějaké chyby, zobrazí se zpráva.
Zobrazte novou vlastní roli v seznamu Role . Pokud vlastní roli nevidíte, klikněte na Aktualizovat.
Může trvat několik minut, než se vaše vlastní role zobrazí všude.
Výpis vlastních rolí
Pokud chcete zobrazit vlastní role, postupujte podle těchto kroků.
Otevřete skupinu pro správu, předplatné nebo skupinu prostředků a pak otevřete Řízení přístupu (IAM).
Kliknutím na kartu Role zobrazíte seznam všech předdefinovaných a vlastních rolí.
V seznamu Typ vyberte Možnost Vlastní role, abyste viděli jenom vlastní role.
Pokud jste právě vytvořili vlastní roli a v seznamu ji nevidíte, klikněte na Aktualizovat.
Aktualizace vlastní role
Jak je popsáno výše v tomto článku, otevřete seznam vlastních rolí.
Klikněte na tři tečky (...) pro vlastní roli, kterou chcete aktualizovat, a potom klikněte na tlačítko Upravit. Mějte na paměti, že předdefinované role není možné aktualizovat.
Vlastní role se otevře v editoru.
Na různých kartách můžete vlastní roli aktualizovat.
Až změny dokončíte, klikněte na kartu Revize a vytvoření a zkontrolujte provedené změny.
Kliknutím na tlačítko Aktualizovat aktualizujte vlastní roli.
Odstranění vlastní role
Odeberte všechna přiřazení rolí, která používají vlastní roli. Další informace najdete v tématu Vyhledání přiřazení rolí k odstranění vlastní role.
Jak je popsáno výše v tomto článku, otevřete seznam vlastních rolí.
Klikněte na tři tečky (...) pro vlastní roli, kterou chcete odstranit, a potom klikněte na odstranit.
Úplné odstranění vlastní role může trvat několik minut.