Gestire i ruoli delle entità servizio
Per limitare l'accesso alle risorse di Azure, è possibile usare un'entità servizio per gestire le assegnazioni di ruolo. Ogni ruolo fornisce autorizzazioni diverse consentite dall'utente durante l'accesso alle risorse di Azure. Questo passaggio dell'esercitazione illustra come creare e rimuovere ruoli dell'entità servizio.
Per gestire le assegnazioni di ruolo, l'interfaccia della riga di comando di Azure offre i comandi seguenti:
Creare o rimuovere un'assegnazione di ruolo
Il ruolo Collaboratore ha autorizzazioni complete per operazioni di lettura e scrittura in un account Azure. Il ruolo Lettore è più restrittivo con l'accesso in sola lettura. Usare sempre il principio dei privilegi minimi. Per un elenco completo dei ruoli disponibili nel controllo degli accessi in base al ruolo di Azure, vedere Ruoli predefiniti di Azure.
L'aggiunta di un ruolo non limita le autorizzazioni assegnate in precedenza. In questo esempio viene aggiunto il ruolo Lettore e viene rimosso il ruolo Collaboratore :
az role assignment create --assignee myServicePrincipalID \
--role Reader \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
az role assignment delete --assignee myServicePrincipalID \
--role Contributor \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
Console di output:
{
"condition": null,
"conditionVersion": null,
"createdBy": null,
"createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
"delegatedManagedIdentityResourceId": null,
"description": null,
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
"name": "00000000-0000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-0000-000000000000",
"principalType": "ServicePrincipal",
"roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
"type": "Microsoft.Authorization/roleAssignments",
"updatedBy": "00000000-0000-0000-0000-000000000000",
"updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}
Come ottenere un valore per il parametro di ambito
Una domanda che si potrebbe avere è "Ricerca per categorie conoscere il valore del --scope parametro?" La risposta consiste nel trovare e copiare l'ID risorsa della risorsa di Azure a cui deve accedere l'entità servizio. Queste informazioni si trovano in genere nella pagina Proprietà o endpoint della portale di Azure di ogni risorsa. Di seguito sono riportati esempi comuni--scope, ma si basano sull'IDrisorsa per un formato e un valore effettivi.
| Ambito | Esempio |
|---|---|
| Subscription | /subscriptions/mySubscriptionID |
| Resource group | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName |
| Macchina virtuale | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Compute/virtualMachines/myVMname |
| Archiviazione servizio file dell'account | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Storage/storageAccounts/myStorageAccountName/fileServices/default |
| Data factory | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.DataFactory/factories/myDataFactoryName |
Per altri esempi di ambito, vedere Informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.
Verificare le modifiche
È possibile verificare le modifiche visualizzando l'elenco dei ruoli assegnati:
# list all role assignments for the current subscription
az role assignment list ---output table
# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com
# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID
È anche possibile accedere al portale di Azure e assegnare manualmente il ruolo all'entità servizio dal menu Controllo di accesso (IAM). Per altri esempi sull'elenco delle assegnazioni di ruolo, vedere Elencare le assegnazioni di ruolo di Azure usando l'interfaccia della riga di comando di Azure.
Passaggi successivi
Dopo aver appreso come gestire i ruoli dell'entità servizio, procedere con il passaggio successivo per informazioni su come usare le entità servizio per creare una risorsa.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per