Megosztás a következőn keresztül:

Oktatóanyag: Csoporthozzáférés biztosítása Azure-erőforrásokhoz az Azure PowerShell használatával

Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure-erőforrásokhoz való hozzáférés kezelésének módját jelenti. Ebben az oktatóanyagban hozzáférést biztosít egy csoportnak az előfizetésben lévő összes megtekintéséhez és egy erőforráscsoport minden elemének kezeléséhez az Azure PowerShell használatával.

Ebben az oktatóanyagban a következőket sajátíthatja el:

  • Hozzáférés biztosítása egy csoport számára különböző hatókörökben
  • Listahozzáférés
  • Hozzáférés eltávolítása

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Megjegyzés:

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

Az oktatóanyag elvégzéséhez a következőkre van szükség:

Szerepkörök hozzárendelése

Az Azure RBAC-ben a hozzáférés biztosításához létre kell hoznia egy szerepkör-hozzárendelést. A szerepkör-hozzárendelés három elemből áll: rendszerbiztonsági tagból, szerepkör-definícióból és hatókörből. Ebben az oktatóanyagban az alábbi két szerepkör-hozzárendelést fogja elvégezni:

Biztonsági tag Szerep meghatározása Hatókör
Csoport
(RBAC-oktatóanyag-csoport)		 Reader Előfizetés
Csoport
(RBAC-oktatóanyag-csoport)		 Közreműködő Erőforráscsoport
(rbac-tutorial-resource-group)

Szerepkörök hozzárendelése csoporthoz

Csoport létrehozása

Szerepkör hozzárendeléséhez felhasználóra, csoportra vagy szolgáltatásnévre van szükség. Ha még nincs csoportja, létrehozhat egyet.

  • Az Azure Cloud Shellben hozzon létre egy új csoportot a New-MgGroup paranccsal.

    New-MgGroup -DisplayName "RBAC Tutorial Group" -MailEnabled:$false `
    -SecurityEnabled:$true -MailNickName "NotSet"

    DisplayName         Id                                   MailNickname Description GroupTypes
-----------         --                                   ------------ ----------- ----------
RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet                   {}

Ha nincs engedélye csoportok létrehozására, kipróbálhatja az oktatóanyagot: Adjon hozzáférést a felhasználóknak az Azure-erőforrásokhoz az Azure PowerShell használatával .

Erőforráscsoport létrehozása

Egy erőforráscsoport segítségével bemutatja, hogyan rendelhet hozzá szerepkört egy erőforráscsoport hatóköréhez.

  1. A Get-AzLocation paranccsal lekérheti a régióhelyek listáját.

    Get-AzLocation | select Location

  2. Válasszon ki egy Önhöz közeli helyet, és rendelje hozzá egy változóhoz.

    $location = "westus"

  3. Hozzon létre egy új erőforráscsoportot a New-AzResourceGroup paranccsal.

    New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location

    ResourceGroupName : rbac-tutorial-resource-group
Location          : westus
ProvisioningState : Succeeded
Tags              :
ResourceId        : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group

Hozzáférés biztosítása

A csoporthoz való hozzáférés biztosításához a New-AzRoleAssignment paranccsal rendelhet hozzá szerepkört. Meg kell adnia a biztonsági főszereplőt, a szerepkör-definíciót és a hatókört.

  1. Kérje le a csoport objektumazonosítóját a Get-MgGroup paranccsal.

    Get-MgGroup -Filter "DisplayName eq 'RBAC Tutorial Group'"

    DisplayName         Id                                   MailNickname Description GroupTypes
-----------         --                                   ------------ ----------- ----------
RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet                   {}

  2. Mentse a csoportobjektum-azonosítót egy változóban.

    $groupId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

  3. Kérje le az előfizetés azonosítóját a Get-AzSubscription paranccsal.

    Get-AzSubscription

    Name     : Pay-As-You-Go
Id       : 00000000-0000-0000-0000-000000000000
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
State    : Enabled

  4. Mentse az előfizetés hatókörét egy változóban.

    $subScope = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"

  5. Rendelje hozzá az Olvasó szerepkört a csoporthoz az előfizetés hatókörén belül.

    New-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Reader" `
  -Scope $subScope

    RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Reader
RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : Group
CanDelegate        : False

  6. Rendelje hozzá a közreműködői szerepkört a csoporthoz az erőforráscsoport hatókörében.

    New-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Contributor" `
  -ResourceGroupName "rbac-tutorial-resource-group"

    RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Contributor
RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : Group
CanDelegate        : False

Listahozzáférés

  1. Az előfizetés hozzáférésének ellenőrzéséhez a Get-AzRoleAssignment paranccsal listázhatja a szerepkör-hozzárendeléseket.

    Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope

    RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Reader
RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : Group
CanDelegate        : False

    A kimenetben láthatja, hogy az Olvasó szerepkör hozzá lett rendelve az RBAC-oktatóanyagcsoporthoz az előfizetés hatókörében.

  2. Az erőforráscsoport hozzáférésének ellenőrzéséhez a Get-AzRoleAssignment paranccsal listázhatja a szerepkör-hozzárendeléseket.

    Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"

    RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Contributor
RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : Group
CanDelegate        : False

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Reader
RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : Group
CanDelegate        : False

    A kimenetben láthatja, hogy a közreműködői és az olvasói szerepkör is hozzá lett rendelve az RBAC-oktatóanyagcsoporthoz. A közreműködői szerepkör az rbac-tutorial-resource-group hatókörben található, az Olvasó szerepkör pedig az előfizetés hatókörében öröklődik.

(Nem kötelező) Hozzáférés listázása az Azure Portal használatával

  1. Ha meg szeretné tekinteni a szerepkör-hozzárendelések megjelenését az Azure Portalon, tekintse meg az előfizetés Hozzáférés-vezérlés (IAM) paneljét.

    Szerepkör-hozzárendelések egy csoporthoz az előfizetés hatókörében

  2. Tekintse meg az erőforráscsoport Hozzáférés-vezérlés (IAM) paneljét.

    Szerepkör-hozzárendelések egy csoporthoz az erőforráscsoport hatókörében

Hozzáférés eltávolítása

A felhasználók, csoportok és alkalmazások hozzáférésének eltávolításához a Remove-AzRoleAssignment használatával távolítsa el a szerepkör-hozzárendelést.

  1. Az alábbi paranccsal eltávolíthatja a csoport közreműködői szerepkör-hozzárendelését az erőforráscsoport hatókörében.

    Remove-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Contributor" `
  -ResourceGroupName "rbac-tutorial-resource-group"

  2. Az alábbi paranccsal eltávolíthatja a csoport Olvasó szerepkör-hozzárendelését az előfizetés hatókörében.

    Remove-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Reader" `
  -Scope $subScope

Erőforrások tisztítása

Az oktatóanyag által létrehozott erőforrások törléséhez törölje az erőforráscsoportot és a csoportot.

  1. Törölje az erőforráscsoportot a Remove-AzResourceGroup paranccsal.

    Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"

    Confirm
Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"):

  2. Amikor a rendszer megerősítést kér, írja be az Y nevet. A törlés néhány másodpercet vesz igénybe.

  3. Törölje a csoportot a Remove-MgGroup paranccsal.

    Remove-MgGroup -GroupID $groupId

    Ha a csoport törlésekor hibaüzenet jelenik meg, a csoportot a portálon is törölheti.

Következő lépések

Azure-szerepkörök hozzárendelése az Azure PowerShell használatával

  • Last updated on