Grundlegendes zu Azure-Rollendefinitionen
Wenn Sie die Funktionsweise eine Azure-Rolle nachvollziehen oder eine eigene benutzerdefinierte Azure-Rolle erstellen möchten, ist es hilfreich zu verstehen, wie Rollen definiert werden. Dieser Artikel geht ausführlich auf Rollendefinitionen ein und enthält einige Beispiele.
Rollendefinition
Eine Rollendefinition ist eine Sammlung von Berechtigungen. Gelegentlich wird sie auch einfach als Rolle bezeichnet. Eine Rollendefinition listet die ausführbaren Aktionen wie etwa Lesen, Schreiben und Löschen auf. Unter Umständen werden außerdem die Aktionen aufgeführt, die nicht zugelassen sind oder im Zusammenhang mit den zugrunde liegenden Daten stehen.
Nachstehend finden Sie ein Beispiel für die in einer Rollendefinition enthaltenen Eigenschaften, wenn diese mit Azure PowerShell angezeigt wird:
Name
Id
IsCustom
Description
Actions []
NotActions []
DataActions []
NotDataActions []
AssignableScopes []
Condition
ConditionVersion
Im Folgenden finden Sie ein Beispiel für die in einer Rollendefinition enthaltenen Eigenschaften, wenn diese mit der Azure-Befehlszeilenschnittstelle oder der REST-API angezeigt wird:
roleName
name
id
roleType
type
description
actions []
notActions []
dataActions []
notDataActions []
assignableScopes []
condition
conditionVersion
createdOn
updatedOn
createdBy
updatedBy
In der folgenden Tabelle wird erläutert, was die einzelnen Eigenschaften bedeuten.
| Eigenschaft | Beschreibung |
|---|---|
NameroleName |
Anzeigename der Rolle |
Idname |
Eindeutige ID der Rolle Integrierte Rollen verfügen cloudübergreifend über die gleiche Rollen-ID. |
id |
Vollqualifizierte eindeutige ID der Rolle Auch wenn die Rolle umbenannt wird, ändert sich die Rollen-ID nicht. Es empfiehlt sich, die Rollen-ID in Ihren Skripts zu verwenden. |
IsCustomroleType |
Gibt an, ob dies eine benutzerdefinierte Rolle ist Legen Sie die Eigenschaft für benutzerdefinierte Rollen auf true oder CustomRole fest. Legen Sie die Eigenschaft für integrierte Rollen auf false oder BuiltInRole fest. |
type |
Typ des Objekts. Auf Microsoft.Authorization/roleDefinitions festlegen. |
Descriptiondescription |
Beschreibung der Rolle |
Actionsactions |
Ein Array von Zeichenfolgen, das die Aktionen auf Steuerungsebene angibt, deren Ausführung die Rolle zulässt |
NotActionsnotActions |
Array von Zeichenfolgen, das die Aktionen auf Steuerungsebene angibt, die von den zulässigen Actions ausgeschlossen sind |
DataActionsdataActions |
Array von Zeichenfolgen, das die Aktionen auf Datenebene angibt, deren Ausführung für Ihre Daten innerhalb des Objekts die Rolle zulässt |
NotDataActionsnotDataActions |
Array von Zeichenfolgen, das die Aktionen auf Datenebene angibt, die von den zulässigen DataActions ausgeschlossen sind |
AssignableScopesassignableScopes |
Array aus Zeichenfolgen zum Angeben der Bereiche, in denen die Rolle zur Zuweisung verfügbar ist. |
Conditioncondition |
Für integrierte Rollen basiert die Bedingungsanweisung auf mindestens einer Aktion in der Rollendefinition. |
ConditionVersionconditionVersion |
Versionsnummer der Bedingung. Der Standardwert lautet 2.0 und ist die einzige öffentlich unterstützte Version. |
createdOn |
Datum und Uhrzeit der Erstellung der Rolle |
updatedOn |
Datum und Uhrzeit der letzten Änderung der Rolle |
createdBy |
Bei benutzerdefinierten Rollen der Prinzipal, der die Rolle erstellt hat |
updatedBy |
Bei benutzerdefinierten Rollen, der Prinzipal, der die Rolle geändert hat |
Aktionsformat
Aktionen werden mit Zeichenfolgen im folgenden Format angegeben:
{Company}.{ProviderName}/{resourceType}/{action}
Der Teil {action} einer Aktionszeichenfolge gibt den Typ der Aktionen an, die Sie für einen Ressourcentyp ausführen können. So weist {action} beispielsweise folgende Teilzeichenfolgen auf:
| Aktionsteilzeichenfolge | Beschreibung |
|---|---|
* |
Das Platzhalterzeichen gewährt Zugriff auf alle Aktionen, die der Zeichenfolge entsprechen. |
read |
Ermöglicht Leseaktionen (GET) |
write |
Ermöglicht Schreibaktionen (PUT oder PATCH) |
action |
Ermöglicht benutzerdefinierte Aktionen wie das Neustarten von VMs (POST) |
delete |
Ermöglicht Löschaktionen (DELETE) |
Beispiel für eine Rollendefinition
Im folgenden Codeausschnitt finden Sie die Definition für die Rolle Mitwirkender, so wie sie in Azure PowerShell und in der Azure CLI angezeigt wird. Die Platzhalteraktionen (*) unter Actions geben an, dass der Prinzipal, der dieser Rolle zugewiesen ist, alle Aktionen ausführen und somit alles verwalten kann. Dies schließt auch Aktionen ein, die später definiert werden, wenn Azure neue Ressourcentypen hinzufügt. Die Aktionen unter NotActions werden von den Actions abgezogen. Im Fall der Rolle Mitwirkender sorgt NotActions dafür, dass die Rolle weder den Zugriff auf Ressourcen noch die Zuweisungen für Azure Blueprints verwalten kann.
Rolle „Mitwirkender“, so wie sie in Azure PowerShell angezeigt wird:
{
"Name": "Contributor",
"Id": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"IsCustom": false,
"Description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"Actions": [
"*"
],
"NotActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete"
],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/"
],
"Condition": null,
"ConditionVersion": null
}
Rolle „Mitwirkender“, so wie sie in der Azure CLI angezeigt wird:
[
{
"assignableScopes": [
"/"
],
"createdBy": null,
"createdOn": "2015-02-02T21:55:09.880642+00:00",
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"condition": null,
"conditionVersion": null,
"dataActions": [],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete"
],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions",
"updatedBy": null,
"updatedOn": "2023-07-10T15:10:53.947865+00:00"
}
]
Aktionen auf Steuerungs- und Datenebene
Die rollenbasierte Zugriffssteuerung für Aktionen auf Steuerungsebene wird in den Eigenschaften Actions und NotActions einer Rollendefinition angegeben. Im Folgenden finden Sie einige Beispiele für Aktionen auf Steuerungsebene in Azure:
- Verwalten des Zugriffs auf ein Speicherkonto
- Erstellen, Aktualisieren oder Löschen eines Blobcontainers
- Löschen einer Ressourcengruppe und aller dazugehörigen Ressourcen
Der Zugriff auf Steuerungsebene wird nicht von Ihrer Datenebene geerbt, wenn die Methode für die Containerauthentifizierung auf Microsoft Entra-Benutzerkonto und nicht auf Zugriffsschlüssel festgelegt ist. Diese Trennung verhindert, dass Rollen mit Platzhaltern (*) uneingeschränkten Zugriff auf Ihre Daten erhalten. Wenn einem Benutzer also beispielsweise die Rolle Leser für ein Abonnement zugewiesen ist, kann er das Speicherkonto anzeigen, aber standardmäßig nicht die zugrunde liegenden Daten.
Vorher wurde die rollenbasierte Zugriffssteuerung nicht bei Datenaktionen verwendet. Die Autorisierung bei Datenaktionen variiert je nach Ressourcenanbieter. Das gleiche Autorisierungsmodell mit rollenbasierter Zugriffssteuerung, das für Aktionen auf Steuerungsebene gilt, wurde auf die Aktionen auf Datenebene erweitert.
Zur Unterstützung von Aktionen auf Datenebene wurden der Rollendefinition neue Dateneigenschaften hinzugefügt. Aktionen auf Datenebene werden in den Eigenschaften DataActions und NotDataActions angegeben. Durch Hinzufügen dieser Dateneigenschaften wird die Trennung zwischen Steuerungs- und Datenebene beibehalten. Hierdurch wird verhindert, dass aktuelle Rollenzuweisungen mit Platzhaltern (*) plötzlich Zugriff auf Daten erhalten. Im Folgenden werden einige Aktionen auf Datenebene aufgeführt, die in DataActions und NotDataActions angegeben werden können:
- Lesen einer Liste von Blobs in einem Container
- Schreiben eines Speicherblobs in einem Container
- Löschen einer Nachricht in einer Warteschlange
Dies ist die Rollendefinition Storage-Blobdatenleser, die Aktionen in der Actions-Eigenschaft und der DataActions-Eigenschaft umfasst. In dieser Rolle können Sie den Blobcontainer sowie die zugrunde liegenden Blobdaten lesen.
Rolle „Storage-Blobdatenleser“, so wie sie in Azure PowerShell angezeigt wird:
{
"Name": "Storage Blob Data Reader",
"Id": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"IsCustom": false,
"Description": "Allows for read access to Azure Storage blob containers and data",
"Actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"NotActions": [],
"DataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"NotDataActions": [],
"AssignableScopes": [
"/"
],
"Condition": null,
"ConditionVersion": null
}
Rolle „Storage-Blobdatenleser“, so wie sie in der Azure CLI angezeigt wird:
[
{
"assignableScopes": [
"/"
],
"createdBy": null,
"createdOn": "2017-12-21T00:01:24.797231+00:00",
"description": "Allows for read access to Azure Storage blob containers and data",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"name": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"condition": null,
"conditionVersion": null,
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"notActions": [],
"notDataActions": []
}
],
"roleName": "Storage Blob Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions",
"updatedBy": null,
"updatedOn": "2021-11-11T20:13:55.297507+00:00"
}
]
Den Eigenschaften DataActions und NotDataActions können nur Aktionen auf Datenebene hinzugefügt werden. Durch Festlegen der isDataAction-Eigenschaft auf true identifizieren Ressourcenanbieter, bei welchen Aktionen es sich um Datenaktionen handelt. Wie Sie eine Liste der Aktionen anzeigen, in denen isDataAction auf true festgelegt ist, erfahren Sie unter Vorgänge für Ressourcenanbieter. Bei Rollen ohne Datenaktionen sind die Eigenschaften DataActions und NotDataActions in der Rollendefinition nicht erforderlich.
Die Autorisierung für alle API-Aufrufe auf Steuerungsebene wird von Azure Resource Manager verarbeitet. Die Autorisierung für API-Aufrufe auf Datenebene wird von einem Ressourcenanbieter oder von Azure Resource Manager verarbeitet.
Beispiel für Datenaktionen
Sehen Sie sich ein spezielles Beispiel an, um die Funktionsweise von Aktionen auf Steuerungs- und Datenebene besser zu verstehen. Alice wurde die Rolle Besitzer im Abonnementbereich zugewiesen. Bob wurde die Rolle Mitwirkender an Storage-Blobdaten in einem Speicherkontobereich zugewiesen. Die folgende Abbildung veranschaulicht dieses Beispiel.
Die Rolle Besitzer für Alice und die Rolle Mitwirkender an Storage-Blobdaten für Bob verfügen über die folgenden Aktionen:
Besitzer
Aktionen
*
Mitwirkender an Speicherblobdaten
Aktionen
Microsoft.Storage/storageAccounts/blobServices/containers/delete
Microsoft.Storage/storageAccounts/blobServices/containers/read
Microsoft.Storage/storageAccounts/blobServices/containers/write
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
DataActions
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Da Alice über eine Platzhalteraktion (*) im Geltungsbereich eines Abonnements verfügt, werden die Berechtigungen nach unten vererbt, um ihr die Durchführung aller Aktionen auf Steuerungsebene zu ermöglichen. Alice kann Container lesen, schreiben und löschen. Alice kann jedoch keine Aktionen auf Datenebene durchführen, ohne zusätzliche Schritte zu unternehmen. Beispielsweise kann Alice standardmäßig die Blobs innerhalb eines Containers nicht lesen. Um die Blobs lesen zu können, müsste Alice die Speicherzugriffsschlüssel abrufen und damit auf die Blobs zugreifen.
Die Berechtigungen von Bob sind ausschließlich auf Actions und DataActions beschränkt, die in der Rolle Mitwirkenden an Storage-Blobdaten angegeben sind. Basierend auf der Rolle kann Bob Aktionen auf Steuerungs- und Datenebene durchführen. Beispielsweise kann Bob Container im angegebenen Speicherkonto lesen, schreiben und löschen und zudem die Blobs lesen, schreiben und löschen.
Weitere Informationen zur Sicherheit auf Steuerungs- und Datenebene für den Speicher finden Sie im Azure Storage-Sicherheitsleitfaden.
Welche Tools unterstützen die Verwendung von Azure-Rollen für Datenaktionen?
Um Datenaktionen anzuzeigen und zu verwenden, müssen Sie über die richtigen Tool- oder SDK-Versionen verfügen:
| Tool | Version |
|---|---|
| Azure PowerShell | 1.1.0 oder höher |
| Azure-Befehlszeilenschnittstelle | 2.0.30 oder höher |
| Azure für .NET | 2.8.0-preview oder höher |
| Azure SDK für Go | 15.0.0 oder höher |
| Azure für Java | 1.9.0 oder höher |
| Azure für Python | 0.40.0 oder höher |
| Azure SDK für Ruby | 0.17.1 oder höher |
Um die Datenaktionen in der REST-API anzuzeigen und zu verwenden, müssen Sie den Parameter api-version auf die folgende oder eine höhere Version festlegen:
- 2018-07-01
Aktionen
Die Berechtigung Actions gibt die Aktionen auf Steuerungsebene an, deren Ausführung die Rolle zulässt. Es handelt sich um eine Sammlung von Zeichenfolgen, mit denen sicherungsfähige Aktionen von Azure-Ressourcenanbietern identifiziert werden. Im Folgenden finden Sie einige Beispiele für Aktionen auf Steuerungsebene, die in Actions verwendet werden können.
| Aktionszeichenfolge | Beschreibung |
|---|---|
*/read |
Gewährt Zugriff auf Leseaktionen für alle Ressourcentypen aller Azure-Ressourcenanbieter |
Microsoft.Compute/* |
Gewährt Zugriff auf alle Aktionen für alle Ressourcentypen im Microsoft.Compute-Ressourcenanbieter |
Microsoft.Network/*/read |
Gewährt Zugriff auf Leseaktionen für alle Ressourcentypen im Microsoft.Network-Ressourcenanbieter |
Microsoft.Compute/virtualMachines/* |
Gewährt Zugriff auf alle Aktionen für VMs und die zugehörigen untergeordneten Ressourcentypen |
microsoft.web/sites/restart/Action |
Gewährt Zugriff zum Neustarten einer Web-App. |
NotActions
Die Berechtigung NotActions gibt die Aktionen auf Steuerungsebene an, die von den zulässigen Aktionen (Actions) abgezogen oder ausgeschlossen werden, die einen Platzhalter (*) enthalten. Verwenden Sie die Berechtigung NotActions, wenn sich die Aktionen, die Sie zulassen möchten, einfacher durch das Abziehen von Actions, die einen Platzhalter (*) enthalten, definieren lässt. Zur Ermittlung des Zugriffs, der durch eine Rolle gewährt wird (effektive Berechtigungen), werden die Aktionen in NotActions von denen in Actions abgezogen.
Actions - NotActions = Effective control plane permissions
In der folgenden Tabelle werden zwei Beispiele für die effektiven Berechtigungen auf Steuerungsebene für eine Microsoft.CostManagement-Platzhalteraktion angezeigt:
| Aktionen | NotActions | Effektive Berechtigungen auf Steuerungsebene |
|---|---|---|
Microsoft.CostManagement/exports/* |
none | Microsoft.CostManagement/exports/actionMicrosoft.CostManagement/exports/readMicrosoft.CostManagement/exports/writeMicrosoft.CostManagement/exports/deleteMicrosoft.CostManagement/exports/run/action |
Microsoft.CostManagement/exports/* |
Microsoft.CostManagement/exports/delete |
Microsoft.CostManagement/exports/actionMicrosoft.CostManagement/exports/readMicrosoft.CostManagement/exports/writeMicrosoft.CostManagement/exports/run/action |
Hinweis
Wenn Benutzer*innen eine Rolle zugewiesen wird, die eine Aktion in NotActions ausschließt, und ihnen dann durch Zuweisen einer zweiten Rolle der Zugriff auf diese Aktion gewährt wird, können die Benutzer*innen die Aktion ausführen. NotActions ist keine Verweigerungsregel, sondern bietet lediglich eine bequeme Möglichkeit, eine Gruppe zulässiger Aktionen zu erstellen, wenn bestimmte Aktionen ausgeschlossen werden müssen.
Unterschiede zwischen NoActions und Ablehnungszuweisungen
NotActions und Ablehnungszuweisungen sind nicht identisch und dienen unterschiedlichen Zwecken. NotActions stellen eine bequeme Möglichkeit dar, um bestimmte Aktionen von einer Platzhalteraktion (*) auszuschließen.
Ablehnungszuweisungen blockieren Aktionen für bestimmte Benutzer, selbst wenn diesen durch eine Rollenzuweisung Zugriff erteilt wurde. Weitere Informationen finden Sie unter Verstehen von Ablehnungszuweisungen für Azure-Ressourcen.
DataActions
Die Berechtigung DataActions gibt die Aktionen auf Datenebene an, deren Ausführung für Ihre Daten innerhalb des Objekts die Rolle zulässt. Wenn ein Benutzer z.B. über Lesezugriff auf Blobdaten auf ein Speicherkonto verfügt, kann er die Blobs in diesem Speicherkonto dann lesen. Im Anschluss finden Sie einige Beispiele für Datenaktionen, die in DataActions verwendet werden können.
| Datenaktionszeichenfolge | Beschreibung |
|---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Gibt ein Blob oder eine Liste von Blobs zurück. |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
Gibt das Ergebnis beim Schreiben eines Blobs zurück. |
Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
Gibt eine Nachricht zurück. |
Microsoft.Storage/storageAccounts/queueServices/queues/messages/* |
Gibt eine Nachricht oder das Ergebnis beim Schreiben oder Löschen einer Nachricht zurück. |
NotDataActions
Die Berechtigung NotDataActions gibt die Aktionen auf Datenebene an, die von den zulässigen Aktionen (DataActions) abgezogen oder ausgeschlossen werden, die einen Platzhalter (*) enthalten. Verwenden Sie die Berechtigung NotDataActions, wenn sich die Aktionen, die Sie zulassen möchten, einfacher durch das Abziehen von DataActions, die einen Platzhalter (*) enthalten, definieren lässt. Zur Ermittlung des Zugriffs, der durch eine Rolle gewährt wird (effektive Berechtigungen), werden die Aktionen in NotDataActions von denen in DataActions abgezogen. Jedem Ressourcenanbieter stehen entsprechende APIs zur Verfügung, um Datenaktionen durchzuführen.
DataActions - NotDataActions = Effective data plane permissions
In der folgenden Tabelle werden zwei Beispiele für die effektiven Berechtigungen auf der Datenebene für eine Microsoft.Storage-Platzhalteraktion gezeigt:
| DataActions | NotDataActions | Effektive Berechtigungen auf Datenebene |
|---|---|---|
Microsoft.Storage/storageAccounts/queueServices/queues/messages/* |
none | Microsoft.Storage/storageAccounts/queueServices/queues/messages/readMicrosoft.Storage/storageAccounts/queueServices/queues/messages/writeMicrosoft.Storage/storageAccounts/queueServices/queues/messages/deleteMicrosoft.Storage/storageAccounts/queueServices/queues/messages/add/actionMicrosoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
Microsoft.Storage/storageAccounts/queueServices/queues/messages/* |
Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
Microsoft.Storage/storageAccounts/queueServices/queues/messages/readMicrosoft.Storage/storageAccounts/queueServices/queues/messages/writeMicrosoft.Storage/storageAccounts/queueServices/queues/messages/add/actionMicrosoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
Hinweis
Wenn Benutzer*innen eine Rolle zugewiesen wird, die eine Datenaktion in NotDataActions ausschließt, und ihnen dann durch Zuweisen einer zweiten Rolle der Zugriff auf diese Datenaktion gewährt wird, können die Benutzer*innen die Datenaktion ausführen. NotDataActions ist keine Verweigerungsregel, sondern bietet lediglich eine bequeme Möglichkeit, eine Gruppe zulässiger Datenaktionen zu erstellen, wenn bestimmte Datenaktionen ausgeschlossen werden müssen.
AssignableScopes
Die AssignableScopes-Eigenschaft gibt die Bereiche (Stamm, Verwaltungsgruppen, Abonnements oder Ressourcengruppen) an, in denen eine Rollendefinition zugewiesen werden kann. Sie können eine benutzerdefinierte Rolle nur in den für Sie erforderlichen Verwaltungsgruppen, Abonnements oder Ressourcengruppen für die Zuweisung zur Verfügung stellen. Sie müssen mindestens eine Verwaltungsgruppe, ein Abonnement oder eine Ressourcengruppe verwenden.
Wenn AssignableScopes beispielsweise auf ein Abonnement festgelegt ist, bedeutet dies, dass die benutzerdefinierte Rolle für die Zuordnung im Abonnementbereich für das angegebene Abonnement, den Ressourcengruppenbereich für jede Ressourcengruppe im Abonnement oder den Ressourcenbereich für jede Ressource im Abonnement verfügbar ist.
Bei integrierten Rollen ist AssignableScopes auf den Stammbereich ("/") festgelegt. Der Stammbereich gibt an, dass die Rolle für die Zuweisung in allen Bereichen verfügbar ist.
Beispiele für gültige zuweisbare Bereiche:
| Rolle ist für die Zuweisung verfügbar | Beispiel |
|---|---|
| Ein Abonnement | "/subscriptions/{subscriptionId1}" |
| Zwei Abonnements | "/subscriptions/{subscriptionId1}", "/subscriptions/{subscriptionId2}" |
| Netzwerkressourcengruppe | "/subscriptions/{subscriptionId1}/resourceGroups/Network" |
| Eine Verwaltungsgruppe | "/providers/Microsoft.Management/managementGroups/{groupId1}" |
| Verwaltungsgruppe und ein Abonnement | "/providers/Microsoft.Management/managementGroups/{groupId1}", "/subscriptions/{subscriptionId1}", |
| Alle Bereiche (gilt nur für integrierte Rollen) | "/" |
Sie können in AssignableScopes einer benutzerdefinierten Rolle nur eine einzige Verwaltungsgruppe definieren.
Obwohl es möglich ist, eine benutzerdefinierte Rolle mit einer Ressourceninstanz mithilfe AssignableScopes der Befehlszeile zu erstellen, empfiehlt es sich nicht. Jeder Mandant unterstützt maximal 5.000 benutzerdefinierte Rollen. Die Verwendung dieser Strategie könnte möglicherweise Ihre verfügbaren benutzerdefinierten Rollen ausschöpfen. Letztlich wird die Zugriffsstufe durch die benutzerdefinierte Rollenzuweisung (Bereich + Rollenberechtigungen + Sicherheitsprinzipal) und nicht durch die in der benutzerdefinierten Rolle aufgeführten AssignableScopes bestimmt. Erstellen Sie also Ihre benutzerdefinierten Rollen mit AssignableScopes der Verwaltungsgruppe, Abonnement oder Ressourcengruppe, weisen sie jedoch die benutzerdefinierten Rollen mit schmalem Bereich wie Ressourcen oder Ressourcengruppe zu.
Weitere Informationen zu AssignableScopes für benutzerdefinierte Rollen finden Sie unter Benutzerdefinierte Azure-Rollen.
Definition der Rolle „Administrator für privilegierte Rollen“
Privilegierte Administratorrollen sind Rollen, die privilegierten Administratorzugriff gewähren, z. B. die Möglichkeit, Azure-Ressourcen zu verwalten oder anderen Benutzer*innen Rollen zuzuweisen. Wenn eine integrierte oder benutzerdefinierte Rolle eine der folgenden Aktionen enthält, gilt sie als privilegiert. Weitere Informationen finden Sie unter Auflisten oder Verwalten der Zuweisungen privilegierter Administratorrollen.
| Aktionszeichenfolge | Beschreibung |
|---|---|
* |
Erstellen und Verwalten von Ressourcen aller Typen |
*/delete |
Löschen Sie Ressourcen aller Typen. |
*/write |
Schreiben Sie Ressourcen aller Typen. |
Microsoft.Authorization/denyAssignments/delete |
Hiermit wird eine Ablehnungszuweisung mit dem angegebenen Bereich gelöscht. |
Microsoft.Authorization/denyAssignments/write |
Hiermit wird eine Ablehnungszuweisung mit dem angegebenen Bereich erstellt. |
Microsoft.Authorization/roleAssignments/delete |
Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich. |
Microsoft.Authorization/roleAssignments/write |
Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich. |
Microsoft.Authorization/roleDefinitions/delete |
Dient zum Löschen der angegebenen benutzerdefinierten Rollendefinition. |
Microsoft.Authorization/roleDefinitions/write |
Dient zum Erstellen oder Aktualisieren einer benutzerdefinierten Rollendefinition mit angegebenen Berechtigungen und zuweisbaren Bereichen. |