Kurz: Udělení přístupu ke skupinám k prostředkům Azure pomocí Azure PowerShellu

Řízení přístupu k prostředkům Azure na základě rolí (Azure RBAC) je způsobem, jak spravujete přístup k prostředkům Azure. V tomto kurzu udělíte skupině přístup k zobrazení všeho v předplatném a správě všeho ve skupině prostředků pomocí Azure PowerShellu.

V tomto kurzu se naučíte:

• Udělení přístupu ke skupině v různých rozsazích
• Přístup k seznamu
• Odebrání přístupu

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Poznámka:

K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Pro absolvování tohoto kurzu potřebujete:

• Oprávnění k vytváření skupin v MICROSOFT Entra ID (nebo mají existující skupinu)
• Azure Cloud Shell
• Microsoft Graph PowerShell SDK

Přiřazení rolí

V Azure RBAC pro udělení přístupu vytvoříte přiřazení role. Přiřazení role se skládá ze tří prvků: objekt zabezpečení, definice role a obor. Zde jsou dvě role, které budete plnit v této lekci:

Principál zabezpečení	Definice role	Scope
Skupina (Skupina kurzů RBAC)	Čtenář	Předplatné
Skupina (Skupina kurzů RBAC)	Přispěvatel	Skupina zdrojů (rbac-výukový-program-skupina-zdrojů)

Vytvoření skupiny

K přiřazení role potřebujete uživatele, skupinu nebo instanční objekt. Pokud skupinu ještě nemáte, můžete ji vytvořit.

• V Azure Cloud Shellu vytvořte novou skupinu pomocí příkazu New-MgGroup .

  New-MgGroup -DisplayName "RBAC Tutorial Group" -MailEnabled:$false `
      -SecurityEnabled:$true -MailNickName "NotSet"
  

  DisplayName         Id                                   MailNickname Description GroupTypes
  -----------         --                                   ------------ ----------- ----------
  RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet                   {}
  

Pokud nemáte oprávnění k vytváření skupin, můžete vyzkoušet kurz: Udělení přístupu uživatelů k prostředkům Azure pomocí Azure PowerShellu .

Vytvoření skupiny zdrojů

Skupinu prostředků použijte k demonstraci, jak přiřadit roli v rámci oboru skupiny prostředků.

1. Pomocí příkazu Get-AzLocation získejte seznam umístění oblastí.

   Get-AzLocation | select Location
   

2. Vyberte umístění blízko vás a přiřaďte ho proměnné.

   $location = "westus"
   

3. Vytvořte novou skupinu prostředků pomocí příkazu New-AzResourceGroup .

   New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location
   

   ResourceGroupName : rbac-tutorial-resource-group
   Location          : westus
   ProvisioningState : Succeeded
   Tags              :
   ResourceId        : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
   

Udělení přístupu

Pokud chcete udělit přístup ke skupině, pomocí příkazu New-AzRoleAssignment přiřaďte roli. Musíte zadat objekt zabezpečení, definici role a obor.

1. Pomocí příkazu Get-MgGroup získejte ID objektu skupiny.

   Get-MgGroup -Filter "DisplayName eq 'RBAC Tutorial Group'"
   

   DisplayName         Id                                   MailNickname Description GroupTypes
   -----------         --                                   ------------ ----------- ----------
   RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet                   {}
   

2. Uložte ID objektu skupiny do proměnné.

   $groupId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
   

3. Pomocí příkazu Get-AzSubscription získejte ID vašeho předplatného.

   Get-AzSubscription
   

   Name     : Pay-As-You-Go
   Id       : 00000000-0000-0000-0000-000000000000
   TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
   State    : Enabled
   

4. Uložte obor předplatného do proměnné.

   $subScope = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
   

5. Přiřaďte roli Čtenář skupině v oboru předplatného.

   New-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Reader" `
     -Scope $subScope
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

6. Přiřaďte roli Přispěvatel skupině na úrovni rozsahu skupiny prostředků.

   New-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Contributor" `
     -ResourceGroupName "rbac-tutorial-resource-group"
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Contributor
   RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

Přístup k seznamu

1. Pokud chcete ověřit přístup k předplatnému, pomocí příkazu Get-AzRoleAssignment zobrazte seznam přiřazení rolí.

   Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

   Ve výstupu vidíte, že role Čtenář byla přiřazena skupině RBAC Tutorial na úrovni předplatného.

2. Pokud chcete ověřit přístup pro skupinu prostředků, pomocí příkazu Get-AzRoleAssignment zobrazte seznam přiřazení rolí.

   Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Contributor
   RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   
   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

   Ve výstupu vidíte, že role Přispěvatel a Čtenář byly přiřazeny skupině RBAC Tutorial. Role Přispěvatel je v rámci rbac-tutorial-resource-group a role Čtenář je zděděná v rámci předplatného.

(Volitelné) Zobrazení přístupu pomocí portálu Azure

1. Pokud chcete zjistit, jak přiřazení rolí vypadají na webu Azure Portal, podívejte se do okna Řízení přístupu (IAM) pro předplatné.

   

2. Zobrazte panel Řízení přístupu (IAM) pro skupinu prostředků.

   

Odebrání přístupu

Pokud chcete odebrat přístup pro uživatele, skupiny a aplikace, odeberte přiřazení role pomocí remove-AzRoleAssignment .

1. Pomocí následujícího příkazu odeberte přiřazení role Přispěvatel pro skupinu na úrovni skupiny prostředků.

   Remove-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Contributor" `
     -ResourceGroupName "rbac-tutorial-resource-group"
   

2. Pomocí následujícího příkazu odeberte přiřazení role Čtenář pro skupinu v rámci předplatného.

   Remove-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Reader" `
     -Scope $subScope
   

Upravte zdroje

Pokud chcete vyčistit prostředky vytvořené v tomto tutoriálu, odstraňte skupinu prostředků a samotnou skupinu.

1. Odstraňte skupinu prostředků pomocí příkazu Remove-AzResourceGroup .

   Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"
   

   Confirm
   Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"):
   

2. Po zobrazení výzvy k potvrzení zadejte Y. Odstranění bude trvat několik sekund.

3. Odstraňte skupinu pomocí příkazu Remove-MgGroup .

   Remove-MgGroup -GroupID $groupId
   

   Pokud se při pokusu o odstranění skupiny zobrazí chyba, můžete ji také odstranit na portálu.

Další kroky

Přiřazení rolí Azure pomocí Azure PowerShellu