New-AzRoleDefinition
Egyéni szerepkört hoz létre az Azure RBAC-ben. Adjon meg egy JSON-szerepkördefiníciós fájlt vagy egy PSRoleDefinition objektumot bemenetként. Először a Get-AzRoleDefinition paranccsal hozzon létre egy alapkonfigurációs szerepkördefiníciós objektumot. Ezután szükség szerint módosítsa a tulajdonságait. Végül ezzel a paranccsal hozzon létre egy egyéni szerepkört szerepkördefinícióval.
Syntax
New-AzRoleDefinition
[-InputFile] <String>
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleDefinition
[-Role] <PSRoleDefinition>
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Description
A New-AzRoleDefinition parancsmag létrehoz egy egyéni szerepkört az Azure Szerepköralapú hozzáférés-vezérlésben. Adjon meg egy szerepkördefiníciót a parancs bemeneteként JSON-fájlként vagy PSRoleDefinition-objektumként. A bemeneti szerepkör definíciójának a következő tulajdonságokat kell tartalmaznia:
- DisplayName: az egyéni szerepkör neve
- Leírás: a szerepkör rövid leírása, amely összefoglalja a szerepkör által biztosított hozzáférést.
- Műveletek: azok a műveletek, amelyekhez az egyéni szerepkör hozzáférést biztosít. A Get-AzProviderOperation használatával lekérheti az Azure RBAC-vel biztonságossá tehet Azure-erőforrás-szolgáltatók műveletet. Az alábbiakban néhány érvényes műveleti sztring található:
- A "*/read" hozzáférést biztosít az összes Azure-erőforrásszolgáltató olvasási műveleteihez.
- A "Microsoft.Network/*/read" az Azure Microsoft.Network erőforrás-szolgáltatójának minden erőforrástípusához hozzáférést biztosít az olvasási műveletekhez.
- A "Microsoft.Compute/virtualMachines/*" hozzáférést biztosít a virtuális gépek és a gyermekerőforrás-típusok minden műveletéhez.
- AssignableScopes: azon hatókörök (Azure-előfizetések vagy erőforráscsoportok) készlete, amelyekben az egyéni szerepkör elérhető lesz a hozzárendeléshez. Az AssignableScopes használatával az egyéni szerepkört csak a szükséges előfizetésekben vagy erőforráscsoportokban teheti elérhetővé hozzárendeléshez, és nem zavarja a felhasználói élményt a többi előfizetés vagy erőforráscsoport számára. Az alábbiakban néhány érvényes hozzárendelhető hatókört sorolunk fel:
- "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e", "/subscriptions/e91d47c4-76f3-4271-a796-21b4ecfe3624": a szerepkört két előfizetés hozzárendeléséhez teszi elérhetővé.
- "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e": a szerepkört egyetlen előfizetésben teszi elérhetővé hozzárendelésre.
- "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e/resourceGroups/Network": a szerepkör csak a hálózati erőforráscsoportban érhető el hozzárendeléshez. A bemeneti szerepkör definíciója a következő tulajdonságokat tartalmazhatja:
- NotActions: azoknak a műveleteknek a készlete, amelyeket ki kell zárni a műveletekből az egyéni szerepkör tényleges műveleteinek meghatározásához. Ha van egy adott művelet, amelyhez nem szeretne hozzáférést biztosítani egy egyéni szerepkörben, célszerű a NotActions használatával kizárni azt ahelyett, hogy az adott műveleten kívüli összes műveletet megadnál a Műveletekben.
- DataActions: azon adatműveletek halmaza, amelyekhez az egyéni szerepkör hozzáférést biztosít.
- NotDataActions: azoknak a műveleteknek a készlete, amelyeket ki kell zárni a DataActionsból az egyéni szerepkör tényleges adatműveleteinek meghatározásához. Ha van egy konkrét adatművelet, amelyhez nem szeretne hozzáférést biztosítani egy egyéni szerepkörben, célszerű a NotDataActions használatával kizárni, ahelyett, hogy az adott műveleten kívüli összes műveletet megadnál a Műveletekben. MEGJEGYZÉS: Ha egy felhasználóhoz olyan szerepkör van hozzárendelve, amely egy műveletet határoz meg a NotActionsban, és egy másik szerepkör is hozzáférést biztosít ugyanahhoz a művelethez, a felhasználó végrehajthatja ezt a műveletet. A NotActions nem megtagadási szabály – egyszerűen kényelmes módszer az engedélyezett műveletek készletének létrehozására, ha bizonyos műveleteket ki kell zárni. Az alábbiakban egy json-példaszerepkör-definíciót láthat, amely a következő bemenetként adható meg: {"Name": "Frissített szerepkör", "Leírás": "Figyelheti az összes erőforrást, és elindíthatja és újraindíthatja a virtuális gépeket", "Actions": [ "/read", "Microsoft.ClassicCompute/virtualmachines/restart/action", "Microsoft.ClassicCompute/virtualmachines/start/action" ], "NotActions": [ "/write" ], "DataActions": [ "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read" ], "NotDataActions": [ "Microsoft. Storage/storageAccounts/blobServices/containers/blobs/write" ], "AssignableScopes": ["/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"] }
Példák
1. példa: Létrehozás a PSRoleDefinitionObject használatával
$role = New-Object -TypeName Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition
$role.Name = 'Virtual Machine Operator'
$role.Description = 'Can monitor, start, and restart virtual machines.'
$role.IsCustom = $true
$role.AssignableScopes = @("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx")
$role.Actions = @(
"Microsoft.Compute/*/read"
"Microsoft.Compute/virtualMachines/start/action"
"Microsoft.Compute/virtualMachines/restart/action"
"Microsoft.Compute/virtualMachines/downloadRemoteDesktopConnectionFile/action"
"Microsoft.Network/*/read"
"Microsoft.Storage/*/read"
"Microsoft.Authorization/*/read"
"Microsoft.Resources/subscriptions/resourceGroups/read"
"Microsoft.Resources/subscriptions/resourceGroups/resources/read"
"Microsoft.Insights/alertRules/*"
"Microsoft.Support/*"
)
New-AzRoleDefinition -Role $role
2. példa: Létrehozás JSON-fájl használatával
New-AzRoleDefinition -InputFile C:\Temp\roleDefinition.json
Paraméterek
-DefaultProfile
Az Azure-ral való kommunikációhoz használt hitelesítő adatok, fiók, bérlő és előfizetés
Típus: | IAzureContextContainer |
Aliasok: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Alapértelmezett érték: | None |
Kötelező: | False |
Folyamatbemenet elfogadása: | False |
Helyettesítő karakterek elfogadása: | False |
-InputFile
Egyetlen JSON-szerepkördefiníciót tartalmazó fájlnév.
Típus: | String |
Position: | 0 |
Alapértelmezett érték: | None |
Kötelező: | True |
Folyamatbemenet elfogadása: | False |
Helyettesítő karakterek elfogadása: | False |
-Role
Szerepkördefiníciós objektum.
Típus: | PSRoleDefinition |
Position: | 0 |
Alapértelmezett érték: | None |
Kötelező: | True |
Folyamatbemenet elfogadása: | False |
Helyettesítő karakterek elfogadása: | False |
-SkipClientSideScopeValidation
Ha meg van adva, hagyja ki az ügyféloldali hatókör érvényesítését.
Típus: | SwitchParameter |
Position: | Named |
Alapértelmezett érték: | None |
Kötelező: | False |
Folyamatbemenet elfogadása: | False |
Helyettesítő karakterek elfogadása: | False |
Bevitelek
None
Kimenetek
Jegyzetek
Kulcsszavak: azure, azurerm, arm, erőforrás, felügyelet, vezető, erőforrás, csoport, sablon, üzembe helyezés