Übung: Erstellen einer benutzerdefinierten Azure-Rolle

  • 5 Minuten

In dieser Lerneinheit erstellen Sie eine benutzerdefinierte Rolle für den Operator für virtuelle Computer und weisen sich Azure selbst zu.

Diese Übung ist optional. Um diese abzuschließen, benötigen Sie Zugriff auf ein Azure-Abonnement, bei dem Sie über die Administratorrolle für den Benutzerzugriff oder die Besitzerrolle für Ihr Konto verfügen. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen einer Rolle

Erstellen Sie eine benutzerdefinierte Rolle in Azure für den neuen Mitarbeiter.

  1. Melden Sie sich beim Azure-Portal mit dem Konto an, für das Sie die Rolle des Benutzerzugriffsadministrators oder Besitzers haben.

  2. Wählen Sie in der Menüleiste auf der rechten oberen Seite Cloud Shell aus.

  3. Wählen Sie Bash aus.

  4. Führen Sie den folgenden Befehl aus, um die Abonnement-ID für die benutzerdefinierte Rollendefinition abzurufen. Kopieren Sie die Abonnement-ID.

     az account list  --output json | jq '.[] | .id, .name'

  5. Geben Sie in Cloud Shell die Zeichenfolge code ein.

  6. Fügen Sie die folgende Rollendefinition in den Editor ein. Dies ist die Rollendefinition, die wir in der vorherigen Lerneinheit identifiziert haben.

    {
 "Name": "Virtual Machine Operator",
 "IsCustom": true,
 "Description": "Can monitor and restart virtual machines.",
 "Actions": [
   "Microsoft.Storage/*/read",
   "Microsoft.Network/*/read",
   "Microsoft.Compute/*/read",
   "Microsoft.Compute/virtualMachines/start/action",
   "Microsoft.Compute/virtualMachines/restart/action",
   "Microsoft.Authorization/*/read",
   "Microsoft.ResourceHealth/availabilityStatuses/read",
   "Microsoft.Resources/subscriptions/resourceGroups/read",
   "Microsoft.Insights/alertRules/*",
   "Microsoft.Support/*"
 ], 
 "NotActions": [],
 "DataActions": [],
 "NotDataActions": [],
 "AssignableScopes": [
   "/subscriptions/subscriptionId"
 ]
}

  7. Ersetzen Sie im Abschnitt AssignableScopes den Text subscriptionId durch den Wert, den Sie im vorherigen Schritt erhalten haben.

  8. Wählen Sie rechts oben im Cloud Shell-Bereich im Dreipunktmenü Speichern aus (oder drücken Sie STRG+S unter Windows bzw. BEFEHL+S unter macOS).

  9. Geben Sie vm-operator-role.json als Dateinamen ein, und wählen Sie Speichern aus.

  10. Wählen Sie rechts oben im Cloud Shell-Bereich im Dreipunktmenü Editor schließen aus (oder drücken Sie STRG+Q unter Windows bzw. BEFEHL+Q unter macOS).

  11. Führen Sie den folgenden Befehl in Cloud Shell aus, um eine benutzerdefinierte Rolle zu erstellen:

    az role definition create --role-definition vm-operator-role.json

Zuweisen einer Rolle

Wenn die benutzerdefinierte Rolle erstellt wird, können Sie sie einem Benutzer oder einer Gruppe zuweisen. Um es für dieses Szenario zu vereinfachen, weisen Sie sich die benutzerdefinierte Rolle einfach selbst zu.

  1. Führen Sie den folgenden Befehl aus, um Ihren Benutzerprinzipalnamen abzurufen. Ersetzen Sie „Ihr Anzeigename“ durch den Namen, der auf Ihrer Profilkarte oben rechts im Azure-Portal angezeigt wird. Ihr Anzeigename ist wahrscheinlich Ihr Vor- und Nachname.

    USER=$(az ad user list --display-name "your display name" --query [0].userPrincipalName --output tsv)
echo $USER

  2. Führen Sie den folgenden Befehl aus, um sich selbst die benutzerdefinierte Rolle zuzuweisen und „Ihre Abonnement-ID“ durch die Abonnement-ID zu ersetzen, die Sie zuvor kopiert haben:

    az role assignment create --assignee $USER --role "Virtual Machine Operator"  --scope /subscriptions/"your subscription id"

  3. Schließen Sie Cloud Shell.