Dieser Browser wird nicht mehr unterstützt.
Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen.
Azure verfügt über ein leistungsfähiges rollenbasiertes Zugriffssteuerungssystem (Role-Based Access Control, RBAC). Weitere Informationen zu Azure RBAC finden Sie unter Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)? Mithilfe von Bicep können Sie RBAC-Rollenzuweisungen und -definitionen programmgesteuert bestimmen.
Rollenzuweisungen ermöglichen es Ihnen, einem Prinzipal (z. B. Benutzer, Gruppe oder Dienstprinzipal) Zugriff auf eine bestimmte Azure-Ressource zu gewähren.
Um eine Rollenzuweisung zu definieren, erstellen Sie eine Ressource mit dem Typ Microsoft.Authorization/roleAssignments. Eine Rollendefinition verfügt über mehrere Eigenschaften, darunter einen Bereich, einen Namen, eine Rollendefinitions-ID, eine Prinzipal-ID und einen Prinzipaltyp.
Rollenzuweisungen gelten für einen bestimmten Bereich, der die Ressource oder Gruppe von Ressourcen definiert, der Sie Zugriff gewähren. Weitere Informationen finden Sie in der Grundlegendes zum Bereich von Azure RBAC.
Rollenzuweisungen sind Erweiterungsressourcen, d. h., sie gelten für eine andere Ressource. Im folgenden Beispiel wird gezeigt, wie ein Speicherkonto und eine Rollenzuweisung erstellt wird, die nur für dieses Speicherkonto gilt:
param location string = resourceGroup().location
param storageAccountName string = 'stor${uniqueString(resourceGroup().id)}'
param storageSkuName string = 'Standard_LRS'
param roleDefinitionResourceId string
param principalId string
resource storageAccount 'Microsoft.Storage/storageAccounts@2023-04-01' = {
name: storageAccountName
location: location
kind: 'StorageV2'
sku: {
name: storageSkuName
}
}
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
scope: storageAccount
name: guid(storageAccount.id, principalId, roleDefinitionResourceId)
properties: {
roleDefinitionId: roleDefinitionResourceId
principalId: principalId
principalType: 'ServicePrincipal'
}
}
Wenn Sie den Bereich nicht explizit angeben, verwendet Bicep die Angabe für targetScope in der Datei. Im folgenden Beispiel wird keine scope-Eigenschaft angegeben, sodass die Rollenzuweisung auf das Abonnement beschränkt ist:
param roleDefinitionResourceId string
param principalId string
targetScope = 'subscription'
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
name: guid(subscription().id, principalId, roleDefinitionResourceId)
properties: {
roleDefinitionId: roleDefinitionResourceId
principalId: principalId
principalType: 'ServicePrincipal'
}
}
Tipp
Verwenden Sie den kleinsten Bereich, den Sie benötigen, um Ihre Anforderungen zu erfüllen.
Wenn Sie beispielsweise einer verwalteten Identität Zugriff auf ein einzelnes Speicherkonto gewähren müssen, empfiehlt es sich aus Sicherheitsgründen, die Rollenzuweisung im Bereich des Speicherkontos und nicht im Bereich der Ressourcengruppe oder des Abonnements zu erstellen.
Der Ressourcenname einer Rollenzuweisung muss eine GUID (Globally Unique Identifier) sein.
Die Ressourcennamen von Rollenzuweisungen müssen innerhalb des Microsoft Entra-Mandanten eindeutig sein, auch wenn der Gültigkeitsbereich kleiner ist.
Damit Ihre Bicep-Bereitstellung wiederholt werden kann, ist es wichtig, dass der Name deterministisch ist, d. h. bei jeder Bereitstellung muss derselbe Namen verwendet werden. Es ist sinnvoll, eine GUID mit einer Kombination aus Bereich, Prinzipal-ID und Rollen-ID zu erstellen. Es wird empfohlen, die Funktion guid() zu verwenden, um eine deterministische GUID für Ihre Rollenzuweisungsnamen zu erstellen, wie in diesem Beispiel:
name: guid(subscription().id, principalId, roleDefinitionResourceId)
Die zugewiesene Rolle kann eine integrierte Rollendefinition oder eine benutzerdefinierte Rollendefinition sein. Um eine integrierte Rollendefinition zu verwenden, suchen Sie die entsprechende Rollendefinitions-ID. Beispielsweise hat die Rolle Mitwirkender die Rollendefinitions-ID b24988ac-6180-42a0-ab88-20f7382dd24c.
Wenn Sie die Rollenzuweisungsressource erstellen, müssen Sie eine vollqualifizierte Ressourcen-ID angeben. Integrierte Rollendefinitions-IDs sind Ressourcen mit Abonnementbereich. Es empfiehlt sich, mithilfe einer existing-Ressource auf die integrierte Rolle zu verweisen und mit der .id-Eigenschaft auf die voll qualifizierte Ressourcen-ID zuzugreifen:
param principalId string
@description('This is the built-in Contributor role. See https://docs.microsoft.com/azure/role-based-access-control/built-in-roles#contributor')
resource contributorRoleDefinition 'Microsoft.Authorization/roleDefinitions@2022-04-01' existing = {
scope: subscription()
name: 'b24988ac-6180-42a0-ab88-20f7382dd24c'
}
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
name: guid(resourceGroup().id, principalId, contributorRoleDefinition.id)
properties: {
roleDefinitionId: contributorRoleDefinition.id
principalId: principalId
principalType: 'ServicePrincipal'
}
}
Die Eigenschaft principalId muss auf eine GUID festgelegt werden, die den Microsoft Entra-Bezeichner für den Prinzipal repräsentiert. In Microsoft Entra ID wird dies mitunter als Objekt-ID bezeichnet.
Die Eigenschaft principalType gibt an, ob es sich bei dem Prinzipal um einen Benutzer, eine Gruppe oder einen Dienstprinzipal handelt. Verwaltete Identitäten sind eine Form von Dienstprinzipal.
Tipp
Es ist wichtig, die Eigenschaft principalType festzulegen, wenn Sie in Bicep eine Rollenzuweisung erstellen. Andernfalls kann es zu zeitweiligen Bereitstellungsfehlern kommen, insbesondere wenn Sie mit Dienstprinzipalen und verwalteten Identitäten arbeiten.
Das folgende Beispiel zeigt, wie Sie eine benutzerseitig zugewiesene verwaltete Identität und Rollenzuweisung erstellen:
param location string = resourceGroup().location
param roleDefinitionResourceId string
var managedIdentityName = 'MyManagedIdentity'
resource managedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2023-01-31' = {
name: managedIdentityName
location: location
}
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
name: guid(resourceGroup().id, managedIdentity.id, roleDefinitionResourceId)
properties: {
roleDefinitionId: roleDefinitionResourceId
principalId: managedIdentity.properties.principalId
principalType: 'ServicePrincipal'
}
}
Wenn Sie Benutzer*innen, Gruppen, Dienstprinzipale oder verwaltete Identitäten aus Microsoft Entra ID löschen, empfiehlt es sich, alle entsprechenden Rollenzuweisungen zu löschen. Sie werden nicht automatisch gelöscht.
Alle Rollenzuweisungen, die auf eine gelöschte Prinzipal-ID verweisen, werden ungültig. Wenn Sie versuchen, den Namen einer Rollenzuweisung für eine andere Rollenzuweisung wiederzuverwenden, schlägt die Bereitstellung fehl. Um dieses Verhalten zu umgehen, sollten Sie entweder die alte Rollenzuweisung entfernen, bevor Sie es neu erstellen oder sicherstellen, dass Sie einen eindeutigen Namen verwenden, wenn Sie eine neue Rollenzuweisung bereitstellen. Diese Schnellstartvorlage veranschaulicht, wie Sie eine Rollenzuweisung in einem Bicep-Modul definieren und eine Prinzipal-ID als Startwert für den Rollenzuweisungsnamen verwenden können.
Benutzerdefinierte Rollendefinitionen ermöglichen es Ihnen, einen Satz von Berechtigungen zu definieren, der dann anhand einer Rollenzuweisung einem Prinzipal zugewiesen werden kann. Weitere Informationen zu Rollendefinitionen finden Sie unter Grundlegendes zu Rollendefinitionen für Azure-Ressourcen.
Um eine benutzerdefinierte Rollendefinition zu erstellen, definieren Sie eine Ressource des Typs Microsoft.Authorization/roleDefinitions. Im Schnellstart Erstellen einer neuen Rolle über eine Bereitstellung auf Abonnementebene finden Sie ein Beispiel.
Die Ressourcennamen von Rollendefinitionen müssen innerhalb des Microsoft Entra-Mandanten eindeutig sein, auch wenn die zuweisbaren Bereiche kleiner sind.
Hinweis
Einige Dienste verwalten eigene Rollendefinitionen und -zuweisungen. Azure Cosmos DB verwaltet z. B. die eigenen Ressourcen Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments und Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions. Weitere Informationen finden Sie in der Dokumentation des jeweiligen Diensts.
Training
Modul
Erfahren Sie, wie Sie Ressourcen für Abonnement-, Verwaltungsgruppen- und Mandantenbereiche in Ihrem Bicep-Code bereitstellen.
Zertifizierung
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Veranschaulichen der Features von Microsoft Entra ID, um Identitätslösungen zu modernisieren sowie Hybridlösungen und Identitätsgovernance zu implementieren
Dokumentation
Microsoft.Authorization/roleAssignments - Bicep, ARM template & Terraform AzAPI reference
Azure Microsoft.Authorization/roleAssignments-Syntax und -Eigenschaften, die in Azure Resource Manager-Vorlagen für die Bereitstellung der Ressource verwendet werden sollen. Neueste API-Version
Microsoft.Authorization/roleAssignments 2022-04-01 - Bicep, ARM template & Terraform AzAPI reference
Azure Microsoft.Authorization/roleAssignments-Syntax und -Eigenschaften, die in Azure Resource Manager-Vorlagen für die Bereitstellung der Ressource verwendet werden sollen. API-Version 2022-04-01
Microsoft.Authorization/roleDefinitions - Bicep, ARM template & Terraform AzAPI reference
Azure Microsoft.Authorization/roleDefinitions-Syntax und -Eigenschaften, die in Azure Resource Manager-Vorlagen für die Bereitstellung der Ressource verwendet werden sollen. Neueste API-Version