Creare o aggiornare ruoli personalizzati di Azure con il portale di Azure

Se i ruoli predefiniti di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati di Azure. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi e entità servizio negli ambiti del gruppo di gestione, della sottoscrizione e del gruppo di risorse. I ruoli personalizzati vengono archiviati in una directory di Microsoft Entra e possono essere condivisi tra sottoscrizioni. Ogni directory può avere fino a 5000 ruoli personalizzati. I ruoli personalizzati possono essere creati usando il portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST. Questo articolo descrive come creare ruoli personalizzati usando il portale di Azure.

Prerequisiti

Per creare ruoli personalizzati è necessario:

• Avere le autorizzazioni per creare ruoli personalizzati, ad esempio Proprietario o Amministratore Accesso utenti

Passaggio 1: Determinare le autorizzazioni necessarie

Azure ha migliaia di autorizzazioni che è possibile includere nel ruolo personalizzato. Ecco alcuni metodi che consentono di determinare le autorizzazioni da aggiungere al ruolo personalizzato:

• Esaminare i ruoli predefiniti esistenti.
• Elencare i servizi di Azure a cui si vuole concedere l'accesso.
• Determinare i provider di risorse che eseguono il mapping ai servizi di Azure. Un metodo di ricerca viene descritto più avanti in Passaggio 4: Autorizzazioni.
• Cercare le autorizzazioni disponibili per trovare le autorizzazioni da includere. Un metodo di ricerca viene descritto più avanti in Passaggio 4: Autorizzazioni.

Passaggio 2: Scegliere come iniziare

È possibile iniziare a creare un ruolo personalizzato in tre modi. È possibile clonare un ruolo esistente, iniziare da zero o iniziare con un file JSON. Il modo più semplice consiste nel trovare un ruolo esistente con la maggior parte delle autorizzazioni necessarie e quindi clonarlo e modificarlo per lo scenario.

Clona un ruolo

Se un ruolo esistente non dispone delle autorizzazioni necessarie, è possibile clonarlo e quindi modificare le autorizzazioni. Seguire questa procedura per avviare la clonazione di un ruolo.

1. Nella portale di Azure aprire un gruppo di gestione, una sottoscrizione o un gruppo di risorse in cui si vuole che il ruolo personalizzato sia assegnabile e quindi aprire Controllo di accesso (IAM).

   Lo screenshot seguente mostra la pagina Controllo di accesso (IAM) aperta per una sottoscrizione.

   

2. Fare clic su Ruoli per visualizzare l'elenco di tutti i ruoli predefiniti e personalizzati.

3. Cercare un ruolo da clonare, ad esempio il ruolo Lettore per la fatturazione.

4. Alla fine della riga fare clic sui puntini di sospensione ( ... ), quindi su Clona.

   

   Verrà aperto l'editor di ruoli personalizzati con l'opzione Clona un ruolo selezionata.

5. Procedere con il passaggio 3: Nozioni di base.

Iniziare da zero

Se si preferisce, è possibile seguire questi passaggi per avviare un ruolo personalizzato da zero.

1. Nella portale di Azure aprire un gruppo di gestione, una sottoscrizione o un gruppo di risorse in cui si vuole che il ruolo personalizzato sia assegnabile e quindi aprire Controllo di accesso (IAM).

2. Fare clic su Aggiungi e quindi su Aggiungi ruolo personalizzato.

   

   Verrà aperto l'editor di ruoli personalizzati con l'opzione Inizia da zero selezionata.

3. Procedere con il passaggio 3: Nozioni di base.

Inizia da JSON

Se si preferisce, è possibile specificare la maggior parte dei valori dei ruoli personalizzati in un file JSON. È possibile aprire il file nell'editor dei ruoli personalizzati, apportare altre modifiche e quindi creare il ruolo personalizzato. Seguire questa procedura per iniziare con un file JSON.

1. Creare un file JSON con il formato seguente:

   {
       "properties": {
           "roleName": "",
           "description": "",
           "assignableScopes": [],
           "permissions": [
               {
                   "actions": [],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

2. Nel file JSON specificare i valori per le varie proprietà. Ecco un esempio con alcuni valori aggiunti. Per informazioni sulle diverse proprietà, vedere Informazioni sulle definizioni dei ruoli di Azure.

   {
       "properties": {
           "roleName": "Billing Reader Plus",
           "description": "Read billing data and download invoices",
           "assignableScopes": [
               "/subscriptions/11111111-1111-1111-1111-111111111111"
           ],
           "permissions": [
               {
                   "actions": [
                       "Microsoft.Authorization/*/read",
                       "Microsoft.Billing/*/read",
                       "Microsoft.Commerce/*/read",
                       "Microsoft.Consumption/*/read",
                       "Microsoft.Management/managementGroups/read",
                       "Microsoft.CostManagement/*/read",
                       "Microsoft.Support/*"
                   ],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

3. Nella portale di Azure aprire la pagina Controllo di accesso (IAM).

4. Fare clic su Aggiungi e quindi su Aggiungi ruolo personalizzato.

   

   Verrà aperto l'editor dei ruoli personalizzati.

5. Nella scheda Informazioni di base, in Autorizzazioni di base selezionare Avvia da JSON.

6. Accanto alla casella Seleziona un file fare clic sul pulsante della cartella per aprire la finestra di dialogo Apri.

7. Selezionare il file JSON e quindi fare clic su Apri.

8. Procedere con il passaggio 3: Nozioni di base.

Passaggio 3: Nozioni di base

Nella scheda Informazioni di base specificare il nome, la descrizione e le autorizzazioni di base per il ruolo personalizzato.

1. Nella casella Nome ruolo personalizzato specificare un nome per il ruolo personalizzato. Il nome deve essere univoco per la directory Microsoft Entra. Il nome può includere lettere, numeri, spazi e caratteri speciali.

2. Nella casella Descrizione specificare una descrizione facoltativa per il ruolo personalizzato. Questo diventerà la descrizione comando per il ruolo personalizzato.

   L'opzione Autorizzazioni di base deve essere già impostata in base al passaggio precedente, ma è possibile modificare.

   

Passaggio 4: Autorizzazioni

Nella scheda Autorizzazioni specificare le autorizzazioni per il ruolo personalizzato. A seconda che sia stato clonato un ruolo o se si è iniziato con JSON, la scheda Autorizzazioni potrebbe già elencare alcune autorizzazioni.

Aggiungere o rimuovere autorizzazioni

Seguire questa procedura per aggiungere o rimuovere autorizzazioni per il ruolo personalizzato.

1. Per aggiungere autorizzazioni, fare clic su Aggiungi autorizzazioni per aprire il riquadro Aggiungi autorizzazioni .

   Questo riquadro elenca tutte le autorizzazioni disponibili raggruppate in categorie diverse in un formato scheda. Ogni categoria rappresenta un provider di risorse, ovvero un servizio che fornisce risorse di Azure.

2. Nella casella Cerca un'autorizzazione digitare una stringa per cercare le autorizzazioni. Ad esempio, cercare la fattura per trovare le autorizzazioni correlate alla fattura.

   Verrà visualizzato un elenco di schede del provider di risorse in base alla stringa di ricerca. Per un elenco del mapping dei provider di risorse ai servizi di Azure, vedere Provider di risorse per i servizi di Azure.

   

3. Fare clic su una scheda del provider di risorse che potrebbe avere le autorizzazioni da aggiungere al ruolo personalizzato, ad esempio Fatturazione Microsoft.

   Viene visualizzato un elenco delle autorizzazioni di gestione per il provider di risorse in base alla stringa di ricerca.

   

4. Se si cercano autorizzazioni applicabili al piano dati, fare clic su Azioni dati. In caso contrario, lasciare l'opzione Azioni impostata su Azioni per elencare le autorizzazioni applicabili al piano di controllo. Per altre informazioni sulle differenze tra il piano di controllo e il piano dati, vedere Azioni di controllo e dati.

5. Se necessario, aggiornare la stringa di ricerca per perfezionare ulteriormente la ricerca.

6. Dopo aver trovato una o più autorizzazioni da aggiungere al ruolo personalizzato, aggiungere un segno di spunta accanto alle autorizzazioni. Ad esempio, aggiungere un segno di spunta accanto a Altro: Scaricare fattura per aggiungere l'autorizzazione per scaricare le fatture.

7. Fare clic su Aggiungi per aggiungere l'autorizzazione all'elenco di autorizzazioni.

   L'autorizzazione viene aggiunta come oggetto Actions o DataActions.

   

8. Per rimuovere le autorizzazioni, fare clic sull'icona di eliminazione alla fine della riga. In questo esempio, poiché un utente non avrà bisogno della possibilità di creare ticket di supporto, l'autorizzazione Microsoft.Support/* può essere eliminata.

Aggiungere autorizzazioni con caratteri jolly

A seconda di come si è scelto di iniziare, è possibile disporre delle autorizzazioni con caratteri jolly (*) nell'elenco di autorizzazioni. Un carattere jolly (*) estende un'autorizzazione a tutti gli elementi corrispondenti alla stringa di azione specificata. Ad esempio, la stringa con caratteri jolly seguente aggiunge tutte le autorizzazioni correlate a Gestione costi di Azure ed esportazioni. Ciò includerebbe anche eventuali autorizzazioni di esportazione future che potrebbero essere aggiunte.

Microsoft.CostManagement/exports/*

Se si vuole aggiungere una nuova autorizzazione con caratteri jolly, non è possibile aggiungerla usando il riquadro Aggiungi autorizzazioni . Per aggiungere un'autorizzazione con caratteri jolly, è necessario aggiungerla manualmente usando la scheda JSON . Per altre informazioni, vedere Passaggio 6: JSON.

Nota

È consigliabile specificare Actions e DataActions in modo esplicito anziché usare il carattere jolly (*). L'accesso aggiuntivo e le autorizzazioni concesse tramite future Actions o DataActions potrebbero essere comportamenti indesiderati usando il carattere jolly.

Escludere le autorizzazioni

Se il ruolo dispone di un'autorizzazione con caratteri jolly (*) e si desidera escludere o sottrarre autorizzazioni specifiche da tale autorizzazione con caratteri jolly, è possibile escluderle. Si supponga, ad esempio, di disporre dell'autorizzazione con caratteri jolly seguenti:

Microsoft.CostManagement/exports/*

Se non si vuole consentire l'eliminazione di un'esportazione, è possibile escludere l'autorizzazione di eliminazione seguente:

Microsoft.CostManagement/exports/delete

Quando si esclude un'autorizzazione, viene aggiunta come NotActions o NotDataActions. Le autorizzazioni di gestione effettive vengono calcolate aggiungendo tutte le Actions proprietà e quindi sottraendo tutto .NotActions Le autorizzazioni valide per i dati vengono calcolate aggiungendo tutte le DataActions proprietà e quindi sottraendo tutto .NotDataActions

Nota

L'esclusione di un'autorizzazione non equivale a una negazione. L'esclusione delle autorizzazioni è semplicemente un modo pratico per sottrarre le autorizzazioni da un'autorizzazione con caratteri jolly.

1. Per escludere o sottrarre un'autorizzazione da un'autorizzazione con caratteri jolly consentiti, fare clic su Escludi autorizzazioni per aprire il riquadro Escludi autorizzazioni.

   In questo riquadro si specificano le autorizzazioni di gestione o dati escluse o sottratte.

2. Dopo aver trovato una o più autorizzazioni da escludere, aggiungere un segno di spunta accanto alle autorizzazioni e quindi fare clic sul pulsante Aggiungi .

   

   L'autorizzazione viene aggiunta come NotActions o NotDataActions.

   

Passaggio 5: Assegnare ambiti

Nella scheda Ambiti assegnabili specificare dove è disponibile il ruolo personalizzato per l'assegnazione, ad esempio gruppo di gestione, sottoscrizioni o gruppi di risorse. A seconda di come si è scelto di iniziare, questa scheda potrebbe già elencare l'ambito in cui è stata aperta la pagina Controllo di accesso (IAM).

È possibile definire un solo gruppo di gestione negli ambiti assegnabili. L'impostazione dell'ambito assegnabile all'ambito radice ("/") non è supportata.

1. Fare clic su Aggiungi ambiti assegnabili per aprire il riquadro Aggiungi ambiti assegnabili.

   

2. Fare clic su uno o più ambiti da usare, in genere la sottoscrizione.

   

3. Fare clic sul pulsante Aggiungi per aggiungere l'ambito assegnabile.

Passaggio 6: JSON

Nella scheda JSON viene visualizzato il ruolo personalizzato formattato in JSON. Se si vuole, è possibile modificare direttamente il codice JSON.

1. Per modificare il codice JSON, fare clic su Modifica.

   

2. Apportare modifiche al codice JSON.

   Se il codice JSON non è formattato correttamente, verrà visualizzata una linea rossa irregolare e un indicatore nella barra verticale.

3. Al termine della modifica, fare clic su Salva.

Passaggio 7: Rivedi e crea

Nella scheda Rivedi e crea è possibile esaminare le impostazioni del ruolo personalizzate.

1. Esaminare le impostazioni del ruolo personalizzate.

   

2. Fare clic su Crea per creare il ruolo personalizzato.

   Dopo alcuni istanti viene visualizzata una finestra di messaggio che indica che il ruolo personalizzato è stato creato correttamente.

   

   Se vengono rilevati errori, verrà visualizzato un messaggio.

   

3. Visualizzare il nuovo ruolo personalizzato nell'elenco Ruoli . Se il ruolo personalizzato non viene visualizzato, fare clic su Aggiorna.

   La visualizzazione del ruolo personalizzato può richiedere alcuni minuti ovunque.

Elencare ruoli personalizzati

Seguire questa procedura per visualizzare i ruoli personalizzati.

1. Aprire un gruppo di gestione, una sottoscrizione o un gruppo di risorse e quindi aprire Controllo di accesso (IAM).

2. Fare clic su Ruoli per visualizzare l'elenco di tutti i ruoli predefiniti e personalizzati.

3. Nell'elenco Tipo selezionare CustomRole per visualizzare solo i ruoli personalizzati.

   Se è stato appena creato il ruolo personalizzato e non viene visualizzato nell'elenco, fare clic su Aggiorna.

   

Aggiornare un ruolo personalizzato

1. Come descritto in precedenza in questo articolo, aprire l'elenco dei ruoli personalizzati.

2. Fare clic sui puntini di sospensione (...) per il ruolo personalizzato da aggiornare e quindi fare clic su Modifica. Si noti che non è possibile aggiornare i ruoli predefiniti.

   Il ruolo personalizzato viene aperto nell'editor.

   

3. Usare le diverse schede per aggiornare il ruolo personalizzato.

4. Al termine delle modifiche, fare clic sulla scheda Rivedi e crea per esaminare le modifiche.

5. Fare clic sul pulsante Aggiorna per aggiornare il ruolo personalizzato.

Eliminare un ruolo personalizzato

1. Rimuovere tutte le assegnazioni di ruolo che usano il ruolo personalizzato. Per altre informazioni, vedere Trovare le assegnazioni di ruolo per eliminare un ruolo personalizzato.

2. Come descritto in precedenza in questo articolo, aprire l'elenco dei ruoli personalizzati.

3. Fare clic sui puntini di sospensione (...) per il ruolo personalizzato da eliminare e quindi fare clic su Elimina.

   

   L'eliminazione del ruolo personalizzato può richiedere alcuni minuti.

Passaggi successivi

• Esercitazione: Creare un ruolo personalizzato di Azure con Azure PowerShell
• Ruoli personalizzati di Azure
• Operazioni del provider di risorse di Azure