Egyéni Azure-szerepkörök létrehozása vagy frissítése az Azure Portalon

Cikk
10/26/2023

Ha az Azure beépített szerepkörei nem felelnek meg a szervezet igényeinek, létrehozhat saját Egyéni Azure-szerepköröket. A beépített szerepkörökhöz hasonlóan egyéni szerepköröket is hozzárendelhet felhasználókhoz, csoportokhoz és szolgáltatásnevekhez a felügyeleti csoport, az előfizetés és az erőforráscsoport hatóköreiben. Az egyéni szerepkörök egy Microsoft Entra-címtárban vannak tárolva, és megoszthatók az előfizetésekben. Minden könyvtár legfeljebb 5000 egyéni szerepkört tartalmazhat. Egyéni szerepkörök hozhatók létre az Azure Portal, az Azure PowerShell, az Azure CLI vagy a REST API használatával. Ez a cikk bemutatja, hogyan hozhat létre egyéni szerepköröket az Azure Portal használatával.

Előfeltételek

Egyéni szerepkörök létrehozásához a következőkre van szükség:

Egyéni szerepkörök létrehozására vonatkozó engedélyre, amely lehet például Tulajdonos vagy Felhasználói hozzáférés rendszergazdája

1. lépés: A szükséges engedélyek meghatározása

Az Azure több ezer olyan engedéllyel rendelkezik, amelyeket esetleg belefoglalhat az egyéni szerepkörbe. Íme néhány módszer, amely segíthet meghatározni az egyéni szerepkörhöz hozzáadni kívánt engedélyeket:

Tekintse meg a meglévő beépített szerepköröket.
Listázhatja azokat az Azure-szolgáltatásokat, amelyhez hozzáférést kíván adni.
Határozza meg az Azure-szolgáltatásokhoz leképező erőforrás-szolgáltatókat. A keresési módszert a 4. lépésben ismertetjük: Engedélyek.
Keresse meg az elérhető engedélyeket a felvenni kívánt engedélyek megkereséséhez. A keresési módszert a 4. lépésben ismertetjük: Engedélyek.

2. lépés: A kezdés módjának kiválasztása

Az egyéni szerepkörök létrehozásának három módja van. Klónozhat egy meglévő szerepkört, az alapoktól kezdve, vagy egy JSON-fájllal kezdheti. A legegyszerűbb megoldás egy meglévő szerepkör megkeresése, amely a szükséges engedélyek többségét biztosítja, majd klónozza és módosítja a forgatókönyvhöz.

Szerepkör klónozása

Ha egy meglévő szerepkör nem rendelkezik a szükséges engedélyekkel, klónozhatja, majd módosíthatja az engedélyeket. A szerepkör klónozásának megkezdéséhez kövesse az alábbi lépéseket.

Az Azure Portalon nyisson meg egy felügyeleti csoportot, előfizetést vagy erőforráscsoportot, ahol azt szeretné, hogy az egyéni szerepkör hozzárendelhető legyen, majd nyissa meg a Hozzáférés-vezérlést (IAM).

Az alábbi képernyőképen az előfizetéshez megnyitott Hozzáférés-vezérlés (IAM) lap látható.
A beépített és egyéni szerepkörök listájának megtekintéséhez kattintson a Szerepkörök lapra.
Keresse meg a szerepkört, amelyet klónozni szeretne, például a Számlázási olvasó szerepkört.
Kattintson a sor végén található három pontra ( ... ), majd kattintson a Klónozás elemre.

Ezzel megnyitja az egyéni szerepkör-szerkesztőt a Szerepkör klónozása lehetőség kiválasztásával.
Folytassa a 3. lépés: Az alapok.

Kezdés a nulláról

Ha szeretné, az alábbi lépéseket követve elindíthat egy egyéni szerepkört az alapoktól.

Az Azure Portalon nyisson meg egy felügyeleti csoportot, előfizetést vagy erőforráscsoportot, ahol azt szeretné, hogy az egyéni szerepkör hozzárendelhető legyen, majd nyissa meg a Hozzáférés-vezérlést (IAM).
Kattintson a Hozzáadás , majd az Egyéni szerepkör hozzáadása elemre.

Ekkor megnyílik az egyéni szerepkörök szerkesztője, és a Start from scratch (Kezdés az alapoktól) lehetőség van kiválasztva.
Folytassa a 3. lépés: Az alapok.

Kezdés JSON-nal

Tetszés szerint megadhatja az egyéni szerepkörök többségét egy JSON-fájlban. A fájlt megnyithatja az egyéni szerepkörök szerkesztőjében, további módosításokat végezhet, majd létrehozhatja az egyéni szerepkört. Kövesse az alábbi lépéseket egy JSON-fájllal való kezdéshez.

Hozzon létre egy JSON-fájlt, amelynek formátuma a következő:

{
    "properties": {
        "roleName": "",
        "description": "",
        "assignableScopes": [],
        "permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

A JSON-fájlban adja meg a különböző tulajdonságok értékeit. Íme egy példa néhány hozzáadott értékkel. A különböző tulajdonságokról további információt az Azure-szerepkördefiníciók ismertetése című témakörben talál.

{
    "properties": {
        "roleName": "Billing Reader Plus",
        "description": "Read billing data and download invoices",
        "assignableScopes": [
            "/subscriptions/11111111-1111-1111-1111-111111111111"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Billing/*/read",
                    "Microsoft.Commerce/*/read",
                    "Microsoft.Consumption/*/read",
                    "Microsoft.Management/managementGroups/read",
                    "Microsoft.CostManagement/*/read",
                    "Microsoft.Support/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Az Azure Portalon nyissa meg a Hozzáférés-vezérlés (IAM) lapot.
Kattintson a Hozzáadás , majd az Egyéni szerepkör hozzáadása elemre.

Ekkor megnyílik az egyéni szerepkörök szerkesztője.
Az Alapszintű beállítások lapon az Alapterv engedélyek területen válassza a Start from JSON (Kezdés a JSON-ból) lehetőséget.
A Fájl kiválasztása párbeszédpanel megnyitásához kattintson a mappa gombra.
Jelölje ki a JSON-fájlt, majd kattintson a Megnyitás gombra.
Folytassa a 3. lépés: Az alapok.

3. lépés: Alapismeretek

Az Alapszintű beállítások lapon adja meg az egyéni szerepkör nevét, leírását és alapkonfiguráció-engedélyeit.

Az Egyéni szerepkör neve mezőben adja meg az egyéni szerepkör nevét. A névnek egyedinek kell lennie a Microsoft Entra könyvtárban. A név tartalmazhat betűket, számokat, szóközöket és speciális karaktereket.
A Leírás mezőben adja meg az egyéni szerepkör opcionális leírását. Ez lesz az egyéni szerepkör elemleírása.

Az Alapterv engedélybeállítást már be kell állítani az előző lépés alapján, de ön módosíthatja.

4. lépés: Engedélyek

Az Engedélyek lapon adja meg az egyéni szerepkör engedélyeit. Attól függően, hogy klónozott-e egy szerepkört, vagy a JSON használatával kezdte, előfordulhat, hogy az Engedélyek lap már felsorol néhány engedélyt.

Permissions tab of create custom role

Engedélyek hozzáadása vagy eltávolítása

Az alábbi lépéseket követve adhat hozzá vagy távolíthat el engedélyeket az egyéni szerepkörhöz.

Engedélyek hozzáadásához kattintson az Engedélyek hozzáadása gombra az Engedélyek hozzáadása panel megnyitásához.

Ez a panel az összes elérhető engedélyt kártyaformátumban különböző kategóriákba csoportosítva jeleníti meg. Minden kategória egy erőforrás-szolgáltatót jelöl, amely egy Azure-erőforrásokat ellátó szolgáltatás.
Az engedély keresése mezőbe írjon be egy sztringet az engedélyek kereséséhez. Például a számlára való kereséssel megkeresheti a számlához kapcsolódó engedélyeket.

A keresési sztring alapján megjelenik az erőforrás-szolgáltatói kártyák listája. Az erőforrás-szolgáltatók Azure-szolgáltatásokra való leképezésének listáját az Azure-szolgáltatások erőforrás-szolgáltatói című témakörben találja.
Kattintson egy erőforrás-szolgáltató kártyára, amely rendelkezhet az egyéni szerepkörhöz hozzáadni kívánt engedélyekkel, például a Microsoft Billing szolgáltatással.

A keresési sztring alapján megjelenik az erőforrás-szolgáltató felügyeleti engedélyeinek listája.
Ha az adatsíkra vonatkozó engedélyeket keres, kattintson az Adatműveletek elemre. Ellenkező esetben hagyja a műveletek kapcsolót a Műveletek beállításra a vezérlősíkra vonatkozó engedélyek listázásához. A vezérlősík és az adatsík közötti különbségekről további információt a Vezérlés és az adatműveletek című témakörben talál.
Szükség esetén frissítse a keresési sztringet a keresés további finomításához.
Miután megtalálta az egyéni szerepkörhöz hozzáadni kívánt egy vagy több engedélyt, jelölje be az engedélyek melletti pipát. Ha például az Egyéb: Számla letöltése jelölőnégyzetet adja hozzá a számlák letöltésére vonatkozó engedély hozzáadásához.
A Hozzáadás gombra kattintva adja hozzá az engedélyt az engedélylistához.

Az engedély hozzá lesz adva egy Actions vagy egy DataActions.
Az engedélyek eltávolításához kattintson a sor végén található törlés ikonra. Ebben a példában, mivel a felhasználónak nem lesz szüksége támogatási jegyek létrehozására, az Microsoft.Support/* engedély törölhető.

Helyettesítő karakterek engedélyeinek hozzáadása

A kezdés módjától függően előfordulhat, hogy helyettesítő karakterekkel (*) rendelkezik az engedélyek listájában. A helyettesítő karakterek (*) mindenre kiterjesztik az engedélyt, amely megfelel az Ön által megadott műveletsztringnek. Az alábbi helyettesítő karaktersorozat például hozzáadja az Azure Cost Managementhez és az exportáláshoz kapcsolódó összes engedélyt. Ez az esetlegesen hozzáadható jövőbeli exportálási engedélyeket is tartalmazza.

Microsoft.CostManagement/exports/*

Ha új helyettesítő karakterekre vonatkozó engedélyt szeretne hozzáadni, az Engedélyek hozzáadása panelen nem adhatja hozzá. Helyettesítő karakterek engedélyének hozzáadásához manuálisan kell hozzáadnia a JSON lapon. További információ: 6. lépés: JSON.

Megjegyzés:

Javasoljuk, hogy a helyettesítő karakter (*) helyett explicit módon adja meg ActionsDataActions és használja. A jövőben ActionsDataActions megadott további hozzáférés és engedélyek nem kívánt viselkedést eredményezhetnek a helyettesítő karakter használatával.

Engedélyek kizárása

Ha a szerepköre helyettesítő (*) engedéllyel rendelkezik, és ki szeretné zárni vagy kivonni bizonyos engedélyeket a helyettesítő karakterek engedélyéből, kizárhatja őket. Tegyük fel például, hogy a következő helyettesítő karakteres engedéllyel rendelkezik:

Microsoft.CostManagement/exports/*

Ha nem szeretné engedélyezni az exportálás törlését, kizárhatja a következő törlési engedélyt:

Microsoft.CostManagement/exports/delete

Ha kizár egy engedélyt, az NotActions egy vagy NotDataActions. Az érvényes felügyeleti engedélyek számítása az Actions összeset hozzáadja, majd kivonja az NotActionsösszeset. A tényleges adatengedélyek számításához adja hozzá az DataActions összeset, majd vonja ki az NotDataActionsösszeset.

Megjegyzés:

Az engedély kizárása nem ugyanaz, mint a megtagadás. Az engedélyek kizárása egyszerűen kényelmes módszer arra, hogy kivonja az engedélyeket a helyettesítő karakterek engedélyéből.

Ha ki szeretne zárni vagy kivonni egy engedélyt egy engedélyezett helyettesítő karakter engedélyéből, kattintson az Engedélyek kizárása gombra az Engedélyek kizárása panel megnyitásához.

Ezen a panelen adja meg a kizárt vagy kivont felügyeleti vagy adatengedélyeket.
Miután megtalálta a kizárni kívánt engedélyeket, adjon hozzá egy pipát az engedélyek mellett, majd kattintson a Hozzáadás gombra.

Az engedély a következőként lesz hozzáadva: vagy NotActionsNotDataActions.

5. lépés: Hozzárendelhető hatókörök

A Hozzárendelhető hatókörök lapon megadhatja, hogy hol érhető el az egyéni szerepkör hozzárendeléshez, például felügyeleti csoporthoz, előfizetésekhez vagy erőforráscsoportokhoz. A kezdés módjától függően előfordulhat, hogy ez a lap már felsorolja azt a hatókört, ahol megnyitotta a Hozzáférés-vezérlés (IAM) lapot.

Hozzárendelhető hatókörökben csak egy felügyeleti csoportot definiálhat. A hozzárendelhető hatókörök gyökérhatókörhöz ("/") való beállítása nem támogatott.

A Hozzárendelhető hatókörök hozzáadása panel megnyitásához kattintson a Hozzárendelhető hatókörök hozzáadása elemre.
Kattintson egy vagy több használni kívánt hatókörre, általában az előfizetésére.
Kattintson a Hozzáadás gombra a hozzárendelhető hatókör hozzáadásához.

6. lépés: JSON

A JSON lapon az egyéni szerepkör JSON formátumban van formázva. Ha szeretné, közvetlenül szerkesztheti a JSON-t.

A JSON szerkesztéséhez kattintson a Szerkesztés gombra.
Módosítsa a JSON-t.

Ha a JSON nem megfelelően van formázva, egy piros szaggatott vonal és egy mutató jelenik meg a függőleges ereszcsatornában.
Ha végzett a szerkesztéssel, kattintson a Mentés gombra.

7. lépés: Áttekintés + létrehozás

A Véleményezés + létrehozás lapon áttekintheti az egyéni szerepkör-beállításokat.

Tekintse át az egyéni szerepkör-beállításokat.
Az egyéni szerepkör létrehozásához kattintson a Létrehozás gombra.

Néhány pillanat múlva megjelenik egy üzenetmező, amely jelzi, hogy az egyéni szerepkör sikeresen létrejött.

Ha bármilyen hibát észlel, megjelenik egy üzenet.
Az új egyéni szerepkör megtekintése a Szerepkörök listában. Ha nem látja az egyéni szerepkört, kattintson a Frissítés gombra.

Eltarthat néhány percig, amíg az egyéni szerepkör mindenhol megjelenik.

Egyéni szerepkörök listázása

Kövesse az alábbi lépéseket az egyéni szerepkörök megtekintéséhez.

Nyisson meg egy felügyeleti csoportot, előfizetést vagy erőforráscsoportot, majd nyissa meg a Hozzáférés-vezérlést (IAM).
A beépített és egyéni szerepkörök listájának megtekintéséhez kattintson a Szerepkörök lapra.
A Típus listában válassza a CustomRole lehetőséget az egyéni szerepkörök megtekintéséhez.

Ha most hozta létre az egyéni szerepkört, és nem látja a listában, kattintson a Frissítés gombra.

Egyéni szerepkörök frissítése

A cikk korábbi részében leírtaknak megfelelően nyissa meg az egyéni szerepkörök listáját.
Kattintson a frissíteni kívánt egyéni szerepkör három pontra (...), majd a Szerkesztés gombra. Note that you can't update built-in roles.

The custom role is opened in the editor.
Use the different tabs to update the custom role.
Ha végzett a módosításokkal, kattintson a Véleményezés + létrehozás fülre a módosítások áttekintéséhez.
Az egyéni szerepkör frissítéséhez kattintson a Frissítés gombra.

Egyéni szerepkörök törlése

Távolítsa el az egyéni szerepkört használó szerepkör-hozzárendeléseket. További információ: Szerepkör-hozzárendelések keresése egyéni szerepkör törléséhez.
A cikk korábbi részében leírtaknak megfelelően nyissa meg az egyéni szerepkörök listáját.
Kattintson a törölni kívánt egyéni szerepkör három pontra (...), majd a Törlés gombra.

Az egyéni szerepkör teljes törlése eltarthat néhány percig.