Condividi tramite

Guida introduttiva: Assegnare un ruolo di Azure con Bicep

  • Articolo

Per gestire l'accesso alle risorse di Azure, si usa il controllo degli accessi in base al ruolo Azure. Questa guida introduttiva illustra come creare un gruppo di risorse e come concedere l'accesso a un utente in modo che possa creare e gestire macchine virtuali nel gruppo di risorse. Questa guida introduttiva usa Bicep per concedere l'accesso.

Bicep è un linguaggio specifico di dominio (DSL) che usa la sintassi dichiarativa per distribuire le risorse di Azure. Offre sintassi concisa, indipendenza dai tipi affidabile e supporto per il riutilizzo del codice. Bicep offre la migliore esperienza di creazione per le soluzioni di infrastruttura come codice in Azure.

Prerequisiti

Per assegnare ruoli di Azure e rimuovere le assegnazioni di ruolo, è necessario disporre di:

  • Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
  • Microsoft.Authorization/roleAssignments/writee Microsoft.Authorization/roleAssignments/delete le autorizzazioni, ad esempio Amministratore Controllo di accesso basato su ruoli.
  • Per assegnare un ruolo, è necessario specificare tre elementi: entità di sicurezza, definizione del ruolo e ambito. Per questa guida introduttiva, l'entità di sicurezza è l'utente o un altro utente nella directory, la definizione del ruolo è Collaboratore macchina virtuale e l'ambito è un gruppo di risorse specificato.

Esaminare il file Bicep

Il file Bicep usato in questo avvio rapido proviene dai modelli di avvio rapido di Azure. Il file Bicep ha due parametri e una sezione resources. In tale sezione sono presenti i tre elementi di un'assegnazione di ruolo, ovvero l'entità di sicurezza, la definizione del ruolo e l'ambito.

@description('Specifies the role definition ID used in the role assignment.')
param roleDefinitionID string

@description('Specifies the principal ID assigned to the role.')
param principalId string

var roleAssignmentName= guid(principalId, roleDefinitionID, resourceGroup().id)
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: roleAssignmentName
  properties: {
    roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionID)
    principalId: principalId
  }
}

output name string = roleAssignment.name
output resourceGroupName string = resourceGroup().name
output resourceId string = roleAssignment.id

La risorsa definita nel file Bicep è:

Distribuire il file Bicep

  1. Salvare il file Bicep come main.bicep nel computer locale.

  2. Distribuisci il file Bicep usando l'interfaccia della riga di comando di Azure o Azure PowerShell.

    az group create --name exampleRG --location eastus
az deployment group create --resource-group exampleRG --template-file main.bicep --parameters roleDefinitionID=9980e02c-c2be-4d73-94e8-173b1dc7cf3c principalId=<principal-id>

Nota

Sostituire <principal-id> con l'ID entità assegnato al ruolo.

Al termine della distribuzione, visualizzerai un messaggio che indica che la distribuzione è stata completata.

Esaminare le risorse distribuite

Usare il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell per elencare le risorse distribuite nel gruppo di risorse.

az role assignment list --resource-group exampleRG

Pulire le risorse

Quando non è più necessario, usare il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell per rimuovere l'assegnazione di ruolo. Per altre informazioni, vedere Rimuovere le assegnazioni di ruolo di Azure.

Usare il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell per eliminare il gruppo di risorse.

az group delete --name exampleRG

Passaggi successivi

Esercitazione: Concedere a un utente l'accesso alle risorse di Azure usando Azure PowerShell