Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Bereich ist der Satz von Ressourcen, auf die zugegriffen wird. Wenn Sie eine Rolle zuweisen, ist es wichtig, den Bereich zu verstehen, damit Sie einem Sicherheitsprinzipal nur den zugriff gewähren können, den er wirklich benötigt. Indem Sie den Bereich einschränken, begrenzen Sie, welche Ressourcen gefährdet sind, wenn der Sicherheitsprinzipal jemals kompromittiert wird.
Bereichsebenen
In Azure können Sie einen Bereich auf vier Ebenen angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Bereiche sind in einer Beziehung zwischen über- und untergeordneten Elementen strukturiert. Jede Hierarchieebene macht den Bereich spezifischer. Sie können Rollen auf einer dieser Ebenen des Umfangs zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie weit die Rolle angewendet wird. Niedrigere Ebenen erben Rollenberechtigungen von höheren Ebenen.
Verwaltungsgruppen sind eine Ebene des Bereichs oberhalb von Abonnements, aber Verwaltungsgruppen unterstützen komplexere Hierarchien. Das folgende Diagramm zeigt ein Beispiel für eine Hierarchie von Verwaltungsgruppen und Abonnements, die Sie definieren können. Weitere Informationen zu Verwaltungsgruppen finden Sie unter Was sind Azure-Verwaltungsgruppen?.
Bereichsformat
Wenn Sie Rollen mithilfe der Befehlszeile zuweisen, müssen Sie den Bereich angeben. Für Befehlszeilentools ist der Bereich eine potenziell lange Zeichenfolge, die den genauen Bereich der Zuweisung identifiziert. Im Azure-Portal wird dieser Bereich in der Regel als Ressourcen-ID aufgeführt.
Der Bereich besteht aus einer Reihe von Bezeichnern, die durch den Schrägstrich (/) getrennt sind. Sie können sich diese Zeichenfolge als Ausdruck der folgenden Hierarchie vorstellen, wobei Text ohne Platzhalter ({}) feste Bezeichner sind:
/subscriptions
/{subscriptionId}
/resourcegroups
/{resourceGroupName}
/providers
/{providerName}
/{resourceType}
/{resourceSubType1}
/{resourceSubType2}
/{resourceName}
-
{subscriptionId}ist die ID des zu verwendenden Abonnements (eine GUID). -
{resourceGroupName}ist der Name der enthaltenden Ressourcengruppe. -
{providerName}ist der Name des Ressourcenanbieters, der die Ressource verarbeitet, und{resourceType}identifiziert dann{resourceSubType*}weitere Ebenen innerhalb dieses Ressourcenanbieters. -
{resourceName}ist der letzte Teil der Zeichenfolge, der eine bestimmte Ressource identifiziert.
Verwaltungsgruppen sind eine Ebene über Abonnements und haben den umfassendsten (am wenigsten spezifischen) Geltungsbereich. Rollenzuweisungen auf dieser Ebene gelten für Abonnements innerhalb der Verwaltungsgruppe. Der Bereich für eine Verwaltungsgruppe weist das folgende Format auf:
/providers
/Microsoft.Management
/managementGroups
/{managementGroupName}
Bereichsbeispiele
| Geltungsbereich | Example |
|---|---|
| Verwaltungsgruppe | /providers/Microsoft.Management/managementGroups/marketing-group |
| Subscription | /subscriptions/00000000-0000-0000-0000-000000000000 |
| Ressourcengruppe | /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/Example-Storage-rg |
/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales |
|
| Resource | /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01 |
/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyVirtualNetworkResourceGroup/providers/Microsoft.Network/virtualNetworks/MyVirtualNetwork12345 |
Ermitteln des Bereichs für eine Ressource
Es ist ziemlich einfach, den Umfang einer Verwaltungsgruppe, eines Abonnements oder einer Ressourcengruppe zu ermitteln. Sie müssen lediglich den Namen und die Abonnement-ID kennen. Das Bestimmen des Bereichs für eine Ressource erfordert jedoch etwas mehr Arbeit. Hier sind einige Möglichkeiten, wie Sie den Bereich für eine Ressource bestimmen können.
Öffnen Sie im Azure-Portal die Ressource, und schauen Sie sich dann die Eigenschaften an. Die Ressource sollte die Ressourcen-ID auflisten, in der Sie den Bereich bestimmen können. Hier sind beispielsweise die Ressourcen-IDs für ein Speicherkonto.
Eine weitere Möglichkeit besteht darin, das Azure-Portal zu verwenden, um eine Rolle vorübergehend im Ressourcenbereich zuzuweisen und dann Azure PowerShell oder Azure CLI zum Auflisten der Rollenzuweisung zu verwenden. In der Ausgabe wird der Bereich als Eigenschaft aufgeführt.
RoleAssignmentId : /subscriptions/<subscriptionId>/resourceGroups/test-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01/pro viders/Microsoft.Authorization/roleAssignments/<roleAssignmentId> Scope : /subscriptions/<subscriptionId>/resourceGroups/test-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01 DisplayName : User SignInName : user@contoso.com RoleDefinitionName : Storage Blob Data Reader RoleDefinitionId : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 ObjectId : <principalId> ObjectType : User CanDelegate : False Description : ConditionVersion : Condition :{ "canDelegate": null, "condition": null, "conditionVersion": null, "description": null, "id": "/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}", "name": "{roleAssignmentId}", "principalId": "{principalId}", "principalName": "user@contoso.com", "principalType": "User", "resourceGroup": "test-rg", "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1", "roleDefinitionName": "Storage Blob Data Reader", "scope": "/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01", "type": "Microsoft.Authorization/roleAssignments" }
Geltungsbereich und ARM-Vorlagen
Eine Rollenzuweisung ist ein spezieller Typ in Azure Resource Manager, der als Erweiterungsressource bezeichnet wird. Eine Erweiterungsressource ist eine Ressource, die den Funktionen einer anderen Ressource hinzugefügt wird. Sie sind immer als Erweiterung (wie ein untergeordnetes Element) einer anderen Ressource vorhanden. Beispielsweise ist eine Rollenzuweisung auf Abonnement-Ebene eine Erweiterungsressource dieses Abonnements. Der Name einer Rollenzuweisung ist immer der Name der Ressource, die Sie erweitern plus /Microsoft.Authorization/roleAssignments/{roleAssignmentId}. Wenn Sie Rollen mithilfe der Azure Resource Manager-Vorlage (ARM-Vorlage) zuweisen, müssen Sie den Bereich normalerweise nicht angeben. Der Grund dafür ist, dass das Bereichsfeld immer die ID der Ressource ist, die Sie erweitern. Der Bereich kann anhand der ID der Rollenzuweisung selbst bestimmt werden. Die folgende Tabelle zeigt Beispiele für eine Rollenzuweisungs-ID und den entsprechenden Bereich:
| Rollenzuweisungs-ID | Geltungsbereich |
|---|---|
/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId} |
/subscriptions/{subscriptionId} |
/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId} |
/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg |
Weitere Informationen zu Bereichs- und ARM-Vorlagen finden Sie unter Zuweisen von Azure-Rollen mithilfe von Azure Resource Manager-Vorlagen. Eine vollständige Liste der Erweiterungsressourcentypen finden Sie unter Ressourcentypen, die Funktionen anderer Ressourcen erweitern.