Oktatóanyag: Csoporthozzáférés biztosítása Azure-erőforrásokhoz az Azure PowerShell használatával

  • Cikk

Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure-erőforrásokhoz való hozzáférés kezelésének módját jelenti. Ebben az oktatóanyagban hozzáférést biztosít egy csoport számára, hogy mindent megtekinthessen az előfizetésben és mindent kezelhessen egy erőforráscsoportban az Azure PowerShell használatával.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Hozzáférés biztosítása egy csoport számára különböző hatókörökben
  • Hozzáférések felsorolása
  • Hozzáférés eltávolítása

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

Az oktatóanyag elvégzéséhez a következőkre van szükség:

Szerepkör-hozzárendelések

Az Azure RBAC-ben a hozzáférés biztosításához létre kell hoznia egy szerepkör-hozzárendelést. A szerepkör-hozzárendelés három elemből áll: rendszerbiztonsági tagból, szerepkör-definícióból és hatókörből. Az oktatóanyag során a következő két szerepkör-hozzárendelést fogja elvégezni:

Rendszerbiztonsági tag Szerepkör-definíció Hatókör
Csoport
(RBAC-oktatóanyagbeli csoport)		 Olvasó Előfizetés
Csoport
(RBAC-oktatóanyagbeli csoport)		 Közreműködő Erőforráscsoport
(rbac-tutorial-resource-group)

Role assignments for a group

Csoport létrehozása

Szerepkör hozzárendeléséhez felhasználóra, csoportra vagy szolgáltatásnévre van szükség. Ha még nem rendelkezik csoporttal, akkor létrehozhat egyet.

  • Az Azure Cloud Shellben hozzon létre egy új csoportot a New-MgGroup paranccsal.

    New-MgGroup -DisplayName "RBAC Tutorial Group" -MailEnabled:$false `
    -SecurityEnabled:$true -MailNickName "NotSet"

    DisplayName         Id                                   MailNickname Description GroupTypes
-----------         --                                   ------------ ----------- ----------
RBAC Tutorial Group 11111111-1111-1111-1111-111111111111 NotSet                   {}

Ha nincs engedélye csoportok létrehozására, kipróbálhatja az oktatóanyagot: Adjon hozzáférést a felhasználóknak az Azure-erőforrásokhoz az Azure PowerShell használatával .

Erőforráscsoport létrehozása

Egy erőforráscsoport használatával bemutatjuk, hogyan rendelhet hozzá egy szerepkört erőforráscsoporti hatókörben.

  1. A Get-AzLocation paranccsal lekérheti a régióhelyek listáját.

    Get-AzLocation | select Location

  2. Válasszon ki egy Önhöz közeli helyet, és rendelje hozzá egy változóhoz.

    $location = "westus"

  3. Hozzon létre egy új erőforráscsoportot a New-AzResourceGroup paranccsal.

    New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location

    ResourceGroupName : rbac-tutorial-resource-group
Location          : westus
ProvisioningState : Succeeded
Tags              :
ResourceId        : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group

Hozzáférés biztosítása

A csoporthoz való hozzáférés biztosításához a New-AzRoleAssignment paranccsal rendelhet hozzá szerepkört. Meg kell adnia a rendszerbiztonsági tagot, a szerepkör-definíciót és a hatókört.

  1. Kérje le a csoport objektumazonosítóját a Get-MgGroup paranccsal.

    Get-MgGroup -Filter "DisplayName eq 'RBAC Tutorial Group'"

    DisplayName         Id                                   MailNickname Description GroupTypes
-----------         --                                   ------------ ----------- ----------
RBAC Tutorial Group 11111111-1111-1111-1111-111111111111 NotSet                   {}

  2. Mentse a csoport objektumazonosítóját egy változóban.

    $groupId = "11111111-1111-1111-1111-111111111111"

  3. Kérje le az előfizetés azonosítóját a Get-AzSubscription paranccsal.

    Get-AzSubscription

    Name     : Pay-As-You-Go
Id       : 00000000-0000-0000-0000-000000000000
TenantId : 22222222-2222-2222-2222-222222222222
State    : Enabled

  4. Mentse az előfizetési hatókört egy változóban.

    $subScope = "/subscriptions/00000000-0000-0000-0000-000000000000"

  5. Rendelje hozzá az Olvasó szerepkört a csoporthoz az előfizetési hatókörben.

    New-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Reader" `
  -Scope $subScope

    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/44444444-4444-4444-4444-444444444444
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Reader
RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId           : 11111111-1111-1111-1111-111111111111
ObjectType         : Group
CanDelegate        : False

  6. Rendelje hozzá a Közreműködő szerepkört a csoporthoz az erőforráscsoporti hatókörben.

    New-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Contributor" `
  -ResourceGroupName "rbac-tutorial-resource-group"

    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Contributor
RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId           : 11111111-1111-1111-1111-111111111111
ObjectType         : Group
CanDelegate        : False

Hozzáférések felsorolása

  1. Az előfizetés hozzáférésének ellenőrzéséhez a Get-AzRoleAssignment paranccsal listázhatja a szerepkör-hozzárendeléseket.

    Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope

    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Reader
RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId           : 11111111-1111-1111-1111-111111111111
ObjectType         : Group
CanDelegate        : False

    A kimenetben láthatja, hogy az Olvasó szerepkör hozzá lett rendelve az RBAC-oktatóanyagbeli csoport az előfizetési hatókörben.

  2. Az erőforráscsoport hozzáférésének ellenőrzéséhez a Get-AzRoleAssignment paranccsal listázhatja a szerepkör-hozzárendeléseket.

    Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"

    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Contributor
RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId           : 11111111-1111-1111-1111-111111111111
ObjectType         : Group
CanDelegate        : False

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : RBAC Tutorial Group
SignInName         :
RoleDefinitionName : Reader
RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId           : 11111111-1111-1111-1111-111111111111
ObjectType         : Group
CanDelegate        : False

    A kimenetben láthatja, hogy a Közreműködő és az Olvasó szerepkör hozzá lett rendelve az RBAC-oktatóanyagbeli csoporthoz. A Közreműködő szerepkör az rbac-tutorial-resource-group hatókörben van, az Olvasó szerepkör pedig örökölt az előfizetési hatókörben.

(Választható) Hozzáférések felsorolása az Azure Portal használatával

  1. Annak megtekintéséhez, hogyan jelennek meg a szerepkör-hozzárendelések az Azure Portalon, tekintse meg az előfizetés Hozzáférés-vezérlés (IAM) paneljét.

    Role assignments for a group at subscription scope

  2. Tekintse meg az erőforráscsoport Hozzáférés-vezérlés (IAM) paneljét.

    Role assignments for a group at resource group scope

Hozzáférés eltávolítása

A felhasználók, csoportok és alkalmazások hozzáférésének eltávolításához a Remove-AzRoleAssignment használatával távolítsa el a szerepkör-hozzárendelést.

  1. A következő paranccsal távolítsa el a csoport Közreműködő szerepkör-hozzárendelését az erőforráscsoporti hatókörben.

    Remove-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Contributor" `
  -ResourceGroupName "rbac-tutorial-resource-group"

  2. A következő paranccsal távolítsa el a csoport Olvasó szerepkör-hozzárendelését az előfizetési hatókörben.

    Remove-AzRoleAssignment -ObjectId $groupId `
  -RoleDefinitionName "Reader" `
  -Scope $subScope

Az erőforrások eltávolítása

Ha törölni szeretné a jelen oktatóanyag során létrehozott erőforrásokat, törölje az erőforráscsoportot és a csoportot.

  1. Törölje az erőforráscsoportot a Remove-AzResourceGroup paranccsal.

    Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"

    Confirm
Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"):

  2. Amikor a rendszer megerősítést kér, írja be az Y nevet. A törlés néhány másodpercet vesz igénybe.

  3. Törölje a csoportot a Remove-MgGroup paranccsal.

    Remove-MgGroup -GroupID $groupId

    Ha a csoport törlése során hibaüzenet jelenik meg, a csoportot a portálon is törölheti.

Következő lépések

Azure-szerepkörök hozzárendelése az Azure PowerShell használatával