Oktatóanyag: Csoporthozzáférés biztosítása Azure-erőforrásokhoz az Azure PowerShell használatával
Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure-erőforrásokhoz való hozzáférés kezelésének módját jelenti. Ebben az oktatóanyagban hozzáférést biztosít egy csoport számára, hogy mindent megtekinthessen az előfizetésben és mindent kezelhessen egy erőforráscsoportban az Azure PowerShell használatával.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Hozzáférés biztosítása egy csoport számára különböző hatókörökben
- Hozzáférések felsorolása
- Hozzáférés eltávolítása
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Előfeltételek
Az oktatóanyag elvégzéséhez a következőkre van szükség:
- Csoportok létrehozására vonatkozó engedélyek a Microsoft Entra-azonosítóban (vagy meglévő csoporttal)
- Azure Cloud Shell
- Microsoft Graph PowerShell SDK
Szerepkör-hozzárendelések
Az Azure RBAC-ben a hozzáférés biztosításához létre kell hoznia egy szerepkör-hozzárendelést. A szerepkör-hozzárendelés három elemből áll: rendszerbiztonsági tagból, szerepkör-definícióból és hatókörből. Az oktatóanyag során a következő két szerepkör-hozzárendelést fogja elvégezni:
Rendszerbiztonsági tag | Szerepkör-definíció | Hatókör |
---|---|---|
Csoport (RBAC-oktatóanyagbeli csoport) |
Olvasó | Előfizetés |
Csoport (RBAC-oktatóanyagbeli csoport) |
Közreműködő | Erőforráscsoport (rbac-tutorial-resource-group) |
Csoport létrehozása
Szerepkör hozzárendeléséhez felhasználóra, csoportra vagy szolgáltatásnévre van szükség. Ha még nem rendelkezik csoporttal, akkor létrehozhat egyet.
Az Azure Cloud Shellben hozzon létre egy új csoportot a New-MgGroup paranccsal.
New-MgGroup -DisplayName "RBAC Tutorial Group" -MailEnabled:$false ` -SecurityEnabled:$true -MailNickName "NotSet"
DisplayName Id MailNickname Description GroupTypes ----------- -- ------------ ----------- ---------- RBAC Tutorial Group 11111111-1111-1111-1111-111111111111 NotSet {}
Ha nincs engedélye csoportok létrehozására, kipróbálhatja az oktatóanyagot: Adjon hozzáférést a felhasználóknak az Azure-erőforrásokhoz az Azure PowerShell használatával .
Erőforráscsoport létrehozása
Egy erőforráscsoport használatával bemutatjuk, hogyan rendelhet hozzá egy szerepkört erőforráscsoporti hatókörben.
A Get-AzLocation paranccsal lekérheti a régióhelyek listáját.
Get-AzLocation | select Location
Válasszon ki egy Önhöz közeli helyet, és rendelje hozzá egy változóhoz.
$location = "westus"
Hozzon létre egy új erőforráscsoportot a New-AzResourceGroup paranccsal.
New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location
ResourceGroupName : rbac-tutorial-resource-group Location : westus ProvisioningState : Succeeded Tags : ResourceId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
Hozzáférés biztosítása
A csoporthoz való hozzáférés biztosításához a New-AzRoleAssignment paranccsal rendelhet hozzá szerepkört. Meg kell adnia a rendszerbiztonsági tagot, a szerepkör-definíciót és a hatókört.
Kérje le a csoport objektumazonosítóját a Get-MgGroup paranccsal.
Get-MgGroup -Filter "DisplayName eq 'RBAC Tutorial Group'"
DisplayName Id MailNickname Description GroupTypes ----------- -- ------------ ----------- ---------- RBAC Tutorial Group 11111111-1111-1111-1111-111111111111 NotSet {}
Mentse a csoport objektumazonosítóját egy változóban.
$groupId = "11111111-1111-1111-1111-111111111111"
Kérje le az előfizetés azonosítóját a Get-AzSubscription paranccsal.
Get-AzSubscription
Name : Pay-As-You-Go Id : 00000000-0000-0000-0000-000000000000 TenantId : 22222222-2222-2222-2222-222222222222 State : Enabled
Mentse az előfizetési hatókört egy változóban.
$subScope = "/subscriptions/00000000-0000-0000-0000-000000000000"
Rendelje hozzá az Olvasó szerepkört a csoporthoz az előfizetési hatókörben.
New-AzRoleAssignment -ObjectId $groupId ` -RoleDefinitionName "Reader" ` -Scope $subScope
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/44444444-4444-4444-4444-444444444444 Scope : /subscriptions/00000000-0000-0000-0000-000000000000 DisplayName : RBAC Tutorial Group SignInName : RoleDefinitionName : Reader RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7 ObjectId : 11111111-1111-1111-1111-111111111111 ObjectType : Group CanDelegate : False
Rendelje hozzá a Közreműködő szerepkört a csoporthoz az erőforráscsoporti hatókörben.
New-AzRoleAssignment -ObjectId $groupId ` -RoleDefinitionName "Contributor" ` -ResourceGroupName "rbac-tutorial-resource-group"
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333 Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group DisplayName : RBAC Tutorial Group SignInName : RoleDefinitionName : Contributor RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c ObjectId : 11111111-1111-1111-1111-111111111111 ObjectType : Group CanDelegate : False
Hozzáférések felsorolása
Az előfizetés hozzáférésének ellenőrzéséhez a Get-AzRoleAssignment paranccsal listázhatja a szerepkör-hozzárendeléseket.
Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222 Scope : /subscriptions/00000000-0000-0000-0000-000000000000 DisplayName : RBAC Tutorial Group SignInName : RoleDefinitionName : Reader RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7 ObjectId : 11111111-1111-1111-1111-111111111111 ObjectType : Group CanDelegate : False
A kimenetben láthatja, hogy az Olvasó szerepkör hozzá lett rendelve az RBAC-oktatóanyagbeli csoport az előfizetési hatókörben.
Az erőforráscsoport hozzáférésének ellenőrzéséhez a Get-AzRoleAssignment paranccsal listázhatja a szerepkör-hozzárendeléseket.
Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333 Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group DisplayName : RBAC Tutorial Group SignInName : RoleDefinitionName : Contributor RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c ObjectId : 11111111-1111-1111-1111-111111111111 ObjectType : Group CanDelegate : False RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222 Scope : /subscriptions/00000000-0000-0000-0000-000000000000 DisplayName : RBAC Tutorial Group SignInName : RoleDefinitionName : Reader RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7 ObjectId : 11111111-1111-1111-1111-111111111111 ObjectType : Group CanDelegate : False
A kimenetben láthatja, hogy a Közreműködő és az Olvasó szerepkör hozzá lett rendelve az RBAC-oktatóanyagbeli csoporthoz. A Közreműködő szerepkör az rbac-tutorial-resource-group hatókörben van, az Olvasó szerepkör pedig örökölt az előfizetési hatókörben.
(Választható) Hozzáférések felsorolása az Azure Portal használatával
Annak megtekintéséhez, hogyan jelennek meg a szerepkör-hozzárendelések az Azure Portalon, tekintse meg az előfizetés Hozzáférés-vezérlés (IAM) paneljét.
Tekintse meg az erőforráscsoport Hozzáférés-vezérlés (IAM) paneljét.
Hozzáférés eltávolítása
A felhasználók, csoportok és alkalmazások hozzáférésének eltávolításához a Remove-AzRoleAssignment használatával távolítsa el a szerepkör-hozzárendelést.
A következő paranccsal távolítsa el a csoport Közreműködő szerepkör-hozzárendelését az erőforráscsoporti hatókörben.
Remove-AzRoleAssignment -ObjectId $groupId ` -RoleDefinitionName "Contributor" ` -ResourceGroupName "rbac-tutorial-resource-group"
A következő paranccsal távolítsa el a csoport Olvasó szerepkör-hozzárendelését az előfizetési hatókörben.
Remove-AzRoleAssignment -ObjectId $groupId ` -RoleDefinitionName "Reader" ` -Scope $subScope
Az erőforrások eltávolítása
Ha törölni szeretné a jelen oktatóanyag során létrehozott erőforrásokat, törölje az erőforráscsoportot és a csoportot.
Törölje az erőforráscsoportot a Remove-AzResourceGroup paranccsal.
Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"
Confirm Are you sure you want to remove resource group 'rbac-tutorial-resource-group' [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"):
Amikor a rendszer megerősítést kér, írja be az Y nevet. A törlés néhány másodpercet vesz igénybe.
Törölje a csoportot a Remove-MgGroup paranccsal.
Remove-MgGroup -GroupID $groupId
Ha a csoport törlése során hibaüzenet jelenik meg, a csoportot a portálon is törölheti.