Create a custom role
Ebben az útmutatóban megtudhatja, hogyan hozhat létre egyéni szerepkört a szolgáltatásüzemeltetők számára. Az egyéni szerepkörök biztosítják a szükséges engedélyeket az Azure Operator Service Manager (AOSM) közzétevői erőforrásainak eléréséhez a Site Network Service (SNS) telepítésekor.
Előfeltételek
Lépjen kapcsolatba a Microsoft-fiók csapatával, és regisztrálja Azure-előfizetését az Azure Operator Service Managerhez (AOSM) való hozzáféréshez, vagy fejezze ki érdeklődését a partnerregisztrációs űrlapon keresztül.
Az egyéni szerepkör által igényelt engedélyek/műveletek
Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action
Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read
Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/action
Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read
Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read
A hatókör meghatározása
Döntse el, hogy melyik hatókörhöz szeretné hozzárendelni a szerepkört:
Ha a közzétevő erőforrásai egyetlen erőforráscsoportban találhatók, használhatja az adott erőforráscsoport hozzárendelhető hatókörét.
Ha a közzétevő erőforrásai egy előfizetésen belül több erőforráscsoportra is kiterjednek, az előfizetés hozzárendelhető hatókörét kell használnia.
Ha a közzétevői erőforrások több előfizetésben vannak elosztva, létre kell hoznia egy egyéni szerepkört, amely hozzárendelhető mindegyik előfizetéshez.
Egyéni szerepkör létrehozása a Bicep használatával
Egyéni szerepkör létrehozása a Bicep használatával. További információ: Egyéni Azure-szerepkörök létrehozása vagy frissítése a Bicep használatával
Példaként az alábbi mintát használhatja main.bicep-sablonként. Ez a minta előfizetés-szintű hozzárendelhető hatókörrel hozza létre a szerepkört.
targetScope = 'subscription'
@description('Array of actions for the roleDefinition')
param actions array = [
'Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action'
'Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read'
'Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/action'
'Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read'
'Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read'
]
@description('Array of notActions for the roleDefinition')
param notActions array = []
@description('Friendly name of the role definition')
param roleName string = 'Custom Role - AOSM Service Operator access to Publisher'
@description('Detailed description of the role definition')
param roleDescription string = 'Provides read and use access to AOSM Publisher resources'
var roleDefName = guid(subscription().id, string(actions), string(notActions))
resource roleDef 'Microsoft.Authorization/roleDefinitions@2022-04-01' = {
name: roleDefName
properties: {
roleName: roleName
description: roleDescription
type: 'customRole'
permissions: [
{
actions: actions
notActions: notActions
}
]
assignableScopes: [
subscription().id
]
}
}
A sablon üzembe helyezésekor a sablont ugyanabban az előfizetésben kell üzembe helyezni, mint a Publisher erőforrásait.
az login
az account set --subscription <publisher subscription>
az deployment sub create --location <location> --name customRole --template-file main.bicep
Egyéni szerepkör létrehozása az Azure Portal használatával
Egyéni szerepkör létrehozása az Azure Portal használatával. További információ: Egyéni Azure-szerepkörök létrehozása vagy frissítése az Azure Portal használatával
Tetszés szerint megadhatja az egyéni szerepkörök többségét egy JSON-fájlban.
JSON-minta:
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.22.6.54827",
"templateHash": "14238097231376848271"
}
},
"parameters": {
"actions": {
"type": "array",
"defaultValue": [
"Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action",
"Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read",
"Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/action",
"Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read",
"Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read"
],
"metadata": {
"description": "Array of actions for the roleDefinition"
}
},
"notActions": {
"type": "array",
"defaultValue": [],
"metadata": {
"description": "Array of notActions for the roleDefinition"
}
},
"roleName": {
"type": "string",
"defaultValue": "Custom Role - AOSM Service Operator Role",
"metadata": {
"description": "Friendly name of the role definition"
}
},
"roleDescription": {
"type": "string",
"defaultValue": "Role Definition for AOSM Service Operator Role",
"metadata": {
"description": "Detailed description of the role definition"
}
}
},
"variables": {
"roleDefName": "[guid(subscription().id, string(parameters('actions')), string(parameters('notActions')))]"
},
"resources": [
{
"type": "Microsoft.Authorization/roleDefinitions",
"apiVersion": "2022-04-01",
"name": "[variables('roleDefName')]",
"properties": {
"roleName": "[parameters('roleName')]",
"description": "[parameters('roleDescription')]",
"type": "customRole",
"permissions": [
{
"actions": "[parameters('actions')]",
"notActions": "[parameters('notActions')]"
}
],
"assignableScopes": [
"[subscription().id]"
]
}
}
]
}
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: