Tutorial: Memberikan akses grup ke sumber daya Azure menggunakan Azure PowerShell

Kontrol akses berbasis peran Azure (Azure RBAC) merupakan cara Anda mengelola akses ke sumber daya Azure. Dalam tutorial ini, Anda memberikan akses grup untuk melihat semuanya dalam langganan dan mengelola semuanya dalam grup sumber daya menggunakan Azure PowerShell.

Dalam tutorial ini, Anda mempelajari cara:

• Memberikan akses untuk grup di cakupan yang berbeda
• Akses ke daftar
• Menghapus akses

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Nota

Kami menyarankan agar Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda akan memerlukan:

• Izin untuk membuat grup di ID Microsoft Entra (atau memiliki grup yang sudah ada)
• Azure Cloud Shell
• Microsoft Graph PowerShell SDK

Penetapan peran

Di Azure RBAC, untuk memberikan akses, Anda membuat penetapan peran. Penetapan peran terdiri dari tiga elemen: prinsip keamanan, definisi peran, dan cakupan. Berikut adalah dua penetapan peran yang akan Anda lakukan dalam tutorial ini:

Prinsipal keamanan	Pengertian peran	Ruang Lingkup
Kelompok (Grup Tutorial RBAC)	Pembaca	Langganan
Kelompok (Grup Tutorial RBAC)	Kontributor	Grup sumber daya (rbac-tutorial-resource-group)

Membuat grup

Untuk menetapkan peran, Anda memerlukan pengguna, grup, atau perwakilan layanan. Jika Anda belum memiliki grup, Anda dapat membuatnya.

• Di Azure Cloud Shell, buat grup baru menggunakan perintah New-MgGroup .

  New-MgGroup -DisplayName "RBAC Tutorial Group" -MailEnabled:$false `
      -SecurityEnabled:$true -MailNickName "NotSet"
  

  DisplayName         Id                                   MailNickname Description GroupTypes
  -----------         --                                   ------------ ----------- ----------
  RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet                   {}
  

Jika Anda tidak memiliki izin untuk membuat grup, Anda dapat mencoba Tutorial: Memberikan akses pengguna ke sumber daya Azure menggunakan Azure PowerShell sebagai gantinya.

Membuat grup sumber daya

Anda menggunakan kelompok sumber daya untuk menunjukkan cara menetapkan peran pada cakupan kelompok sumber daya.

1. Dapatkan daftar lokasi wilayah menggunakan perintah Get-AzLocation .

   Get-AzLocation | select Location
   

2. Pilih lokasi di dekat Anda dan tetapkan ke variabel.

   $location = "westus"
   

3. Buat grup sumber daya baru menggunakan perintah New-AzResourceGroup .

   New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location
   

   ResourceGroupName : rbac-tutorial-resource-group
   Location          : westus
   ProvisioningState : Succeeded
   Tags              :
   ResourceId        : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
   

Memberikan akses

Untuk memberikan akses untuk grup, Anda menggunakan perintah New-AzRoleAssignment untuk menetapkan peran. Anda harus menentukan prinsip keamanan, definisi peran, dan cakupan.

1. Dapatkan ID objek grup menggunakan perintah Get-MgGroup .

   Get-MgGroup -Filter "DisplayName eq 'RBAC Tutorial Group'"
   

   DisplayName         Id                                   MailNickname Description GroupTypes
   -----------         --                                   ------------ ----------- ----------
   RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet                   {}
   

2. Simpan ID objek grup dalam variabel.

   $groupId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
   

3. Dapatkan ID langganan Anda menggunakan perintah Get-AzSubscription.

   Get-AzSubscription
   

   Name     : Pay-As-You-Go
   Id       : 00000000-0000-0000-0000-000000000000
   TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
   State    : Enabled
   

4. Simpan cakupan langganan dalam variabel.

   $subScope = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
   

5. Tetapkan peran Pembaca untuk grup di cakupan langganan.

   New-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Reader" `
     -Scope $subScope
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

6. Tetapkan peran Kontributor ke grup dalam lingkup grup sumber daya.

   New-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Contributor" `
     -ResourceGroupName "rbac-tutorial-resource-group"
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Contributor
   RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

Akses daftar

1. Untuk memverifikasi akses langganan, gunakan perintah Get-AzRoleAssignment untuk mencantumkan penetapan peran.

   Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

   Dalam output, Anda dapat melihat bahwa peran Pembaca telah ditetapkan ke Grup Tutorial RBAC pada cakupan langganan.

2. Untuk memverifikasi akses untuk grup sumber daya, gunakan perintah Get-AzRoleAssignment untuk mencantumkan penetapan peran.

   Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Contributor
   RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   
   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

   Dalam output, Anda dapat melihat bahwa peran Kontributor dan Pembaca telah ditetapkan ke Grup Tutorial RBAC. Peran Kontributor berada di cakupan rbac-tutorial-resource-group dan peran Pembaca diwarisi pada cakupan langganan.

(Opsional) Mencantumkan akses menggunakan Portal Microsoft Azure

1. Untuk melihat tampilan penetapan peran di portal Microsoft Azure, lihat bilah Kontrol akses (IAM) untuk langganan.

   

2. Lihat bilah Kontrol akses (IAM) untuk grup sumber daya.

   

Menghapus akses

Untuk menghapus akses bagi pengguna, grup, dan aplikasi, gunakan Remove-AzRoleAssignment untuk menghapus penetapan peran.

1. Gunakan perintah berikut untuk menghapus pemberian peran Kontributor untuk grup pada cakupan grup sumber daya.

   Remove-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Contributor" `
     -ResourceGroupName "rbac-tutorial-resource-group"
   

2. Gunakan perintah berikut untuk menghapus penetapan peran Pembaca untuk grup di cakupan langganan.

   Remove-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Reader" `
     -Scope $subScope
   

Membersihkan sumber daya

Untuk membersihkan sumber daya yang dibuat oleh tutorial ini, hapus grup sumber daya dan grup.

1. Hapus grup sumber daya menggunakan perintah Remove-AzResourceGroup .

   Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"
   

   Confirm
   Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"):
   

2. Ketika diminta untuk mengonfirmasi, ketik Y. Diperlukan waktu beberapa detik untuk menghapus.

3. Hapus grup menggunakan perintah Remove-MgGroup .

   Remove-MgGroup -GroupID $groupId
   

   Jika Anda menerima kesalahan saat mencoba menghapus grup, Anda juga dapat menghapus grup di portal.

Langkah berikutnya

Menetapkan peran Azure menggunakan Azure PowerShell