Condividi tramite


Gestire i ruoli delle entità servizio

Per limitare l'accesso alle risorse di Azure, è possibile usare un'entità servizio per gestire le assegnazioni di ruolo. Ogni ruolo fornisce autorizzazioni diverse consentite dall'utente durante l'accesso alle risorse di Azure. Questo passaggio dell'esercitazione illustra come creare e rimuovere ruoli dell'entità servizio.

Per gestire le assegnazioni di ruolo, l'interfaccia della riga di comando di Azure offre i comandi seguenti:

Creare o rimuovere un'assegnazione di ruolo

Il ruolo Collaboratore ha autorizzazioni complete per operazioni di lettura e scrittura in un account Azure. Il ruolo Lettore è più restrittivo con l'accesso in sola lettura. Usare sempre il principio dei privilegi minimi. Per un elenco completo dei ruoli disponibili nel controllo degli accessi in base al ruolo di Azure, vedere Ruoli predefiniti di Azure.

L'aggiunta di un ruolo non limita le autorizzazioni assegnate in precedenza. In questo esempio viene aggiunto il ruolo Lettore e viene rimosso il ruolo Collaboratore :

az role assignment create --assignee myServicePrincipalID \
                          --role Reader \
                          --scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName

az role assignment delete --assignee myServicePrincipalID \
                          --role Contributor \
                          --scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName

Console di output:

{
  "condition": null,
  "conditionVersion": null,
  "createdBy": null,
  "createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
  "delegatedManagedIdentityResourceId": null,
  "description": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "name": "00000000-0000-0000-0000-000000000000",
  "principalId": "00000000-0000-0000-0000-000000000000",
  "principalType": "ServicePrincipal",
  "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
  "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
  "type": "Microsoft.Authorization/roleAssignments",
  "updatedBy": "00000000-0000-0000-0000-000000000000",
  "updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}

Come ottenere un valore per il parametro di ambito

Una domanda che si potrebbe avere è "Ricerca per categorie conoscere il valore del --scope parametro?" La risposta consiste nel trovare e copiare l'ID risorsa della risorsa di Azure a cui deve accedere l'entità servizio. Queste informazioni si trovano in genere nella pagina Proprietà o endpoint della portale di Azure di ogni risorsa. Di seguito sono riportati esempi comuni--scope, ma si basano sull'ID risorsa per un formato e un valore effettivi.

Ambito Esempio
Subscription /subscriptions/mySubscriptionID
Resource group /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
Macchina virtuale /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Compute/virtualMachines/myVMname
Archiviazione servizio file dell'account /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Storage/storageAccounts/myStorageAccountName/fileServices/default
Data factory /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.DataFactory/factories/myDataFactoryName

Per altri esempi di ambito, vedere Informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.

Verificare le modifiche

È possibile verificare le modifiche visualizzando l'elenco dei ruoli assegnati:

# list all role assignments for the current subscription
az role assignment list ---output table

# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com

# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID

È anche possibile accedere al portale di Azure e assegnare manualmente il ruolo all'entità servizio dal menu Controllo di accesso (IAM). Per altri esempi sull'elenco delle assegnazioni di ruolo, vedere Elencare le assegnazioni di ruolo di Azure usando l'interfaccia della riga di comando di Azure.

Passaggi successivi

Dopo aver appreso come gestire i ruoli dell'entità servizio, procedere con il passaggio successivo per informazioni su come usare le entità servizio per creare una risorsa.