Créer ou mettre à jour des rôles personnalisés Azure à l’aide d’Azure CLI

Si les rôles intégrés Azure ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles personnalisés. Cet article explique comment lister, créer, mettre à jour ou supprimer des rôles personnalisés à l’aide d’Azure CLI.

Pour obtenir un didacticiel pas à pas sur la création d’un rôle personnalisé, consultez Tutoriel : Créer un rôle personnalisé Azure à l’aide d’Azure CLI.

Prérequis

Pour créer des rôles personnalisés, vous avez besoin des éléments suivants :

• Autorisations pour créer des rôles personnalisés, tels que l’accès utilisateur Administration istrator
• Azure Cloud Shell ou Azure CLI

Répertorier les rôles personnalisés

Pour lister les rôles personnalisés pouvant être affectés, utilisez az role definition list. L’exemple suivant liste tous les rôles personnalisés de l’abonnement actuel.

az role definition list --custom-role-only true --output json --query '[].{roleName:roleName, roleType:roleType}'

[
  {
    "roleName": "My Management Contributor",
    "type": "CustomRole"
  },
  {
    "roleName": "My Service Reader Role",
    "type": "CustomRole"
  },
  {
    "roleName": "Virtual Machine Operator",
    "type": "CustomRole"
  }
]

Lister une définition de rôle personnalisé

Pour lister une définition de rôle personnalisé, utilisez az role definition list. Cette commande est la même que celle que vous utiliseriez pour un rôle intégré.

az role definition list --name {roleName}

L’exemple suivant liste la définition de rôle Opérateur de machine virtuelle :

az role definition list --name "Virtual Machine Operator"

[
  {
    "assignableScopes": [
      "/subscriptions/{subscriptionId}"
    ],
    "description": "Can monitor and restart virtual machines.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
    "name": "00000000-0000-0000-0000-000000000000",
    "permissions": [
      {
        "actions": [
          "Microsoft.Storage/*/read",
          "Microsoft.Network/*/read",
          "Microsoft.Compute/*/read",
          "Microsoft.Compute/virtualMachines/start/action",
          "Microsoft.Compute/virtualMachines/restart/action",
          "Microsoft.Authorization/*/read",
          "Microsoft.ResourceHealth/availabilityStatuses/read",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Insights/alertRules/*",
          "Microsoft.Insights/diagnosticSettings/*",
          "Microsoft.Support/*"
        ],
        "dataActions": [],
        "notActions": [],
        "notDataActions": []
      }
    ],
    "roleName": "Virtual Machine Operator",
    "roleType": "CustomRole",
    "type": "Microsoft.Authorization/roleDefinitions"
  }
]

L’exemple suivant liste seulement les actions du rôle Opérateur de machine virtuelle :

az role definition list --name "Virtual Machine Operator" --output json --query '[].permissions[0].actions'

[
  [
    "Microsoft.Storage/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Authorization/*/read",
    "Microsoft.ResourceHealth/availabilityStatuses/read",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Insights/alertRules/*",
    "Microsoft.Insights/diagnosticSettings/*",
    "Microsoft.Support/*"
  ]
]

Créer un rôle personnalisé

Pour créer un rôle personnalisé, utilisez az role definition create. La définition de rôle peut être une description JSON ou le chemin d’un fichier contenant une description JSON.

az role definition create --role-definition {roleDefinition}

L’exemple suivant crée un rôle personnalisé appelé Virtual Machine Operator. Ce rôle personnalisé attribue l’accès à toutes les actions de lecture des fournisseurs de ressources Microsoft.Compute, Microsoft.Storage et Microsoft.Network et attribue l’accès pour démarrer, redémarrer et surveiller des machines virtuelles. Ce rôle personnalisé peut être utilisé dans deux abonnements. Cet exemple utilise un fichier JSON en tant qu’entrée.

vmoperator.json

{
  "Name": "Virtual Machine Operator",
  "IsCustom": true,
  "Description": "Can monitor and restart virtual machines.",
  "Actions": [
    "Microsoft.Storage/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Authorization/*/read",
    "Microsoft.ResourceHealth/availabilityStatuses/read",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Insights/alertRules/*",
    "Microsoft.Support/*"
  ],
  "NotActions": [

  ],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}",
    "/subscriptions/{subscriptionId2}"
  ]
}

az role definition create --role-definition ~/roles/vmoperator.json

Mettre à jour un rôle personnalisé

Pour mettre à jour un rôle personnalisé, utilisez d’abord az role definition list pour récupérer la définition de rôle. Apportez ensuite les modifications souhaitées à la définition de rôle. Enfin, utilisez az role definition update pour enregistrer la définition de rôle mise à jour.

az role definition update --role-definition {roleDefinition}

L’exemple suivant ajoute l’action Microsoft.Insights/diagnosticSettings/ à Actions et ajoute un groupe d’administration à AssignableScopes pour le rôle personnalisé Opérateur de machine virtuelle.

vmoperator.json

{
  "Name": "Virtual Machine Operator",
  "IsCustom": true,
  "Description": "Can monitor and restart virtual machines.",
  "Actions": [
    "Microsoft.Storage/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Authorization/*/read",
    "Microsoft.ResourceHealth/availabilityStatuses/read",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Insights/alertRules/*",
    "Microsoft.Insights/diagnosticSettings/*",
    "Microsoft.Support/*"
  ],
  "NotActions": [

  ],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}",
    "/subscriptions/{subscriptionId2}",
    "/providers/Microsoft.Management/managementGroups/marketing-group"
  ]
}

az role definition update --role-definition ~/roles/vmoperator.json

Supprimer un rôle personnalisé

1. Supprimez toutes les attributions de rôles qui utilisent le rôle personnalisé. Pour plus d’informations, consultez Rechercher des attributions de rôles pour supprimer un rôle personnalisé.

2. Pour supprimer le rôle personnalisé, utilisez az role definition delete. Pour spécifier le rôle à supprimer, utilisez le nom ou l’ID du rôle. Pour déterminer l’ID du rôle, utilisez az role definition list.

   az role definition delete --name {roleNameOrId}
   

   L’exemple suivant supprime le rôle personnalisé Virtual Machine Operator.

   az role definition delete --name "Virtual Machine Operator"
   

Étapes suivantes

• Tutoriel : Créer un rôle personnalisé Azure à l’aide d’Azure CLI
• Rôle personnalisés Azure
• Opérations de fournisseur de ressources Azure