Creare o aggiornare ruoli personalizzati di Azure usando il portale di Azure

Se i ruoli predefiniti di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati di Azure. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio nell'ambito del gruppo di gestione (solo in anteprima) della sottoscrizione e del gruppo di risorse. I ruoli personalizzati vengono archiviati in una directory di Azure Active Directory (Azure AD) e possono essere condivisi tra le sottoscrizioni. Ogni directory può avere fino a 5000 ruoli personalizzati. I ruoli personalizzati possono essere creati usando il portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST. Questo articolo descrive come creare ruoli personalizzati usando la portale di Azure.

Prerequisiti

Per creare ruoli personalizzati è necessario:

• Avere le autorizzazioni per creare ruoli personalizzati, ad esempio Proprietario o Amministratore Accesso utenti

Passaggio 1: Determinare le autorizzazioni necessarie

Azure dispone di migliaia di autorizzazioni che è possibile includere potenzialmente nel ruolo personalizzato. Ecco alcuni metodi che consentono di determinare le autorizzazioni che si desidera aggiungere al ruolo personalizzato:

• Esaminare i ruoli predefiniti esistenti.
• Elencare i servizi di Azure a cui si vuole concedere l'accesso.
• Determinare i provider di risorse che esegue il mapping ai servizi di Azure. Un metodo di ricerca viene descritto più avanti nel passaggio 4: Autorizzazioni.
• Cercare le autorizzazioni disponibili per trovare le autorizzazioni da includere. Un metodo di ricerca viene descritto più avanti nel passaggio 4: Autorizzazioni.

Passaggio 2: Scegliere come iniziare

Esistono tre modi per iniziare a creare un ruolo personalizzato. È possibile clonare un ruolo esistente, iniziare da zero o iniziare con un file JSON. Il modo più semplice consiste nel trovare un ruolo esistente con la maggior parte delle autorizzazioni necessarie e quindi clonarlo e modificarlo per lo scenario.

Clonare un ruolo

Se un ruolo esistente non dispone abbastanza delle autorizzazioni necessarie, è possibile clonarlo e quindi modificare le autorizzazioni. Seguire questa procedura per avviare la clonazione di un ruolo.

1. Nella portale di Azure aprire una sottoscrizione o un gruppo di risorse in cui si vuole assegnare il ruolo personalizzato e quindi aprire Controllo di accesso (IAM).

   Lo screenshot seguente mostra la pagina Controllo di accesso (IAM) aperta per una sottoscrizione.

   

2. Fare clic su Ruoli per visualizzare l'elenco di tutti i ruoli predefiniti e personalizzati.

3. Cercare un ruolo da clonare, ad esempio il ruolo Lettore per la fatturazione.

4. Alla fine della riga fare clic sui puntini di sospensione ( ... ), quindi su Clona.

   

   Verrà aperto l'editor di ruoli personalizzati con l'opzione Clonare un ruolo selezionato.

5. Procedere al passaggio 3: Nozioni di base.

Iniziare da zero

Se si preferisce, è possibile seguire questa procedura per avviare un ruolo personalizzato da zero.

1. Nella portale di Azure aprire una sottoscrizione o un gruppo di risorse in cui si vuole assegnare il ruolo personalizzato e quindi aprire Controllo di accesso (IAM).

2. Fare clic su Aggiungi e quindi su Aggiungi ruolo personalizzato.

   

   Verrà aperto l'editor dei ruoli personalizzato con l'opzione Start from scratch selezionata.

3. Procedere al passaggio 3: Nozioni di base.

Iniziare da JSON

Se si preferisce, è possibile specificare la maggior parte dei valori di ruolo personalizzati in un file JSON. È possibile aprire il file nell'editor dei ruoli personalizzati, apportare modifiche aggiuntive e quindi creare il ruolo personalizzato. Seguire questa procedura per iniziare con un file JSON.

1. Creare un file JSON con il formato seguente:

   {
       "properties": {
           "roleName": "",
           "description": "",
           "assignableScopes": [],
           "permissions": [
               {
                   "actions": [],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

2. Nel file JSON specificare i valori per le varie proprietà. Ecco un esempio con alcuni valori aggiunti. Per informazioni sulle diverse proprietà, vedere Informazioni sulle definizioni dei ruoli di Azure.

   {
       "properties": {
           "roleName": "Billing Reader Plus",
           "description": "Read billing data and download invoices",
           "assignableScopes": [
               "/subscriptions/11111111-1111-1111-1111-111111111111"
           ],
           "permissions": [
               {
                   "actions": [
                       "Microsoft.Authorization/*/read",
                       "Microsoft.Billing/*/read",
                       "Microsoft.Commerce/*/read",
                       "Microsoft.Consumption/*/read",
                       "Microsoft.Management/managementGroups/read",
                       "Microsoft.CostManagement/*/read",
                       "Microsoft.Support/*"
                   ],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

3. Nella portale di Azure aprire la pagina Controllo di accesso (IAM).

4. Fare clic su Aggiungi e quindi su Aggiungi ruolo personalizzato.

   

   Verrà aperto l'editor di ruoli personalizzati.

5. Nella scheda Nozioni di base selezionareAvvia da JSON.

6. Accanto alla casella Seleziona un file, fare clic sul pulsante cartella per aprire la finestra di dialogo Apri.

7. Selezionare il file JSON e quindi fare clic su Apri.

8. Procedere al passaggio 3: Nozioni di base.

Passaggio 3: Nozioni di base

Nella scheda Nozioni di base specificare il nome, la descrizione e le autorizzazioni di base per il ruolo personalizzato.

1. Nella casella Nome ruolo personalizzato specificare un nome per il ruolo personalizzato. Il nome deve essere univoco per la directory di Azure AD. Il nome può includere lettere, numeri, spazi e caratteri speciali.

2. Nella casella Descrizione specificare una descrizione facoltativa per il ruolo personalizzato. Questo diventerà la descrizione comando per il ruolo personalizzato.

   L'opzione Autorizzazioni di base deve essere già impostata in base al passaggio precedente, ma è possibile modificare.

   

Passaggio 4: Autorizzazioni

Nella scheda Autorizzazioni specificare le autorizzazioni per il ruolo personalizzato. A seconda che sia stato clonato un ruolo o se si è iniziato con JSON, la scheda Autorizzazioni potrebbe già elencare alcune autorizzazioni.

Aggiungere o rimuovere le autorizzazioni

Seguire questa procedura per aggiungere o rimuovere le autorizzazioni per il ruolo personalizzato.

1. Per aggiungere autorizzazioni, fare clic su Aggiungi autorizzazioni per aprire il riquadro Aggiungi autorizzazioni .

   Questo riquadro elenca tutte le autorizzazioni disponibili raggruppate in categorie diverse in un formato scheda. Ogni categoria rappresenta un provider di risorse, ovvero un servizio che fornisce risorse di Azure.

2. Nella casella Cerca un'autorizzazione digitare una stringa per cercare le autorizzazioni. Ad esempio, cercare la fattura per trovare le autorizzazioni correlate alla fattura.

   Verrà visualizzato un elenco di schede del provider di risorse in base alla stringa di ricerca. Per un elenco del modo in cui i provider di risorse vengono mappati ai servizi di Azure, vedere Provider di risorse per i servizi di Azure.

   

3. Fare clic su una scheda del provider di risorse che potrebbe avere le autorizzazioni da aggiungere al ruolo personalizzato, ad esempio Fatturazione Microsoft.

   Un elenco delle autorizzazioni di gestione per tale provider di risorse viene visualizzato in base alla stringa di ricerca.

   

4. Se si cercano autorizzazioni che si applicano al piano dati, fare clic su Azioni dati. In caso contrario, lasciare attiva l'opzione Azioni impostata su Azioni per elencare le autorizzazioni applicabili al piano di controllo. Per altre informazioni, sulle differenze tra il piano di controllo e il piano dati, vedere Azioni di controllo e dati.

5. Se necessario, aggiornare la stringa di ricerca per perfezionare ulteriormente la ricerca.

6. Dopo aver trovato una o più autorizzazioni da aggiungere al ruolo personalizzato, aggiungere un segno di spunta accanto alle autorizzazioni. Ad esempio, aggiungere un segno di spunta accanto a Other : Scaricare fattura per aggiungere l'autorizzazione per scaricare le fatture.

7. Fare clic su Aggiungi per aggiungere l'autorizzazione all'elenco delle autorizzazioni.

   L'autorizzazione viene aggiunta come oggetto Actions o .DataActions

   

8. Per rimuovere le autorizzazioni, fare clic sull'icona di eliminazione alla fine della riga. In questo esempio, poiché un utente non dovrà creare ticket di supporto, l'autorizzazione Microsoft.Support/* può essere eliminata.

Aggiungere autorizzazioni con caratteri jolly

A seconda del modo in cui si è scelto di iniziare, è possibile disporre delle autorizzazioni con caratteri jolly (*) nell'elenco delle autorizzazioni. Un carattere jolly (*) estende un'autorizzazione a tutto ciò che corrisponde alla stringa di azione specificata. Ad esempio, la stringa jolly seguente aggiunge tutte le autorizzazioni correlate a Gestione costi di Azure ed esportazioni. Ciò include anche eventuali autorizzazioni di esportazione future che potrebbero essere aggiunte.

Microsoft.CostManagement/exports/*

Se si vuole aggiungere una nuova autorizzazione con caratteri jolly, non è possibile aggiungerla usando il riquadro Aggiungi autorizzazioni . Per aggiungere un'autorizzazione con caratteri jolly, è necessario aggiungerla manualmente usando la scheda JSON . Per altre informazioni, vedere Passaggio 6: JSON.

Escludere le autorizzazioni

Se il ruolo ha un'autorizzazione jolly (*) e si vuole escludere o sottrarre autorizzazioni specifiche da tale autorizzazione con caratteri jolly, è possibile escluderle. Si supponga, ad esempio, di avere l'autorizzazione jolly seguente:

Microsoft.CostManagement/exports/*

Se non si vuole consentire l'eliminazione di un'esportazione, è possibile escludere l'autorizzazione di eliminazione seguente:

Microsoft.CostManagement/exports/delete

Quando si esclude un'autorizzazione, viene aggiunta come oggetto NotActions o NotDataActions. Le autorizzazioni di gestione effettive vengono calcolate aggiungendo tutte le Actions risorse e quindi sottraendo tutto l'oggetto NotActions. Le autorizzazioni di dati effettive vengono calcolate aggiungendo tutte le risorse e quindi sottraendo tutto DataActions l'oggetto NotDataActions.

Nota

L'esclusione di un'autorizzazione non è uguale a una negazione. L'esclusione delle autorizzazioni è semplicemente un modo pratico per sottrarre le autorizzazioni da un'autorizzazione con caratteri jolly.

1. Per escludere o sottrarre un'autorizzazione da un'autorizzazione con caratteri jolly consentiti, fare clic su Escludi autorizzazioni per aprire il riquadro Escludi autorizzazioni .

   In questo riquadro si specificano le autorizzazioni di gestione o dati escluse o sottratte.

2. Dopo aver trovato una o più autorizzazioni da escludere, aggiungere un segno di spunta accanto alle autorizzazioni e quindi fare clic sul pulsante Aggiungi .

   

   L'autorizzazione viene aggiunta come oggetto NotActions o NotDataActions.

   

Passaggio 5: Ambiti assegnabili

Nella scheda Ambiti assegnabili specificare dove è disponibile il ruolo personalizzato per l'assegnazione, ad esempio gruppo di gestione, sottoscrizioni o gruppi di risorse. A seconda del modo in cui si è scelto di iniziare, questa scheda potrebbe già elencare l'ambito in cui è stata aperta la pagina Controllo di accesso (IAM).

È possibile definire un solo gruppo di gestione in ambiti assegnabili. L'aggiunta di un gruppo di gestione per gli ambiti assegnabili è attualmente in anteprima. L'impostazione dell'ambito assegnabile all'ambito radice ("/") non è supportata.

1. Fare clic su Aggiungi ambiti assegnabili per aprire il riquadro Aggiungi ambiti assegnabili.

   

2. Fare clic su uno o più ambiti da usare, in genere la sottoscrizione.

   

3. Fare clic sul pulsante Aggiungi per aggiungere l'ambito assegnabile.

Passaggio 6: JSON

Nella scheda JSON viene visualizzato il ruolo personalizzato formattato in JSON. Se si vuole, è possibile modificare direttamente il codice JSON. Se si vuole aggiungere un'autorizzazione jolly (*), è necessario usare questa scheda.

1. Per modificare il codice JSON, fare clic su Modifica.

   

2. Apportare modifiche al codice JSON.

   Se il codice JSON non è formattato correttamente, si noterà una linea rossa frastagliata e un indicatore nella gutter verticale.

3. Al termine della modifica, fare clic su Salva.

Passaggio 7: Rivedere e creare

Nella scheda Rivedi e crea è possibile esaminare le impostazioni del ruolo personalizzate.

1. Esaminare le impostazioni del ruolo personalizzate.

   

2. Fare clic su Crea per creare il ruolo personalizzato.

   Dopo alcuni momenti, viene visualizzata una finestra di messaggio che indica che il ruolo personalizzato è stato creato correttamente.

   

   Se vengono rilevati errori, verrà visualizzato un messaggio.

   

3. Visualizzare il nuovo ruolo personalizzato nell'elenco Ruoli . Se non viene visualizzato il ruolo personalizzato, fare clic su Aggiorna.

   Può richiedere alcuni minuti per visualizzare ovunque il ruolo personalizzato.

Elencare ruoli personalizzati

Seguire questa procedura per visualizzare i ruoli personalizzati.

1. Aprire una sottoscrizione o un gruppo di risorse e quindi aprire Controllo di accesso (IAM).

2. Fare clic su Ruoli per visualizzare l'elenco di tutti i ruoli predefiniti e personalizzati.

3. Nell'elenco Tiposelezionare CustomRole per visualizzare solo i ruoli personalizzati.

   Se è stato appena creato il ruolo personalizzato e non viene visualizzato nell'elenco, fare clic su Aggiorna.

   

Aggiornare un ruolo personalizzato

1. Come descritto in precedenza in questo articolo, aprire l'elenco di ruoli personalizzati.

2. Fare clic sui puntini di sospensione (...) per il ruolo personalizzato da aggiornare e quindi fare clic su Modifica. Si noti che non è possibile aggiornare i ruoli predefiniti.

   Il ruolo personalizzato viene aperto nell'editor.

   

3. Usare le diverse schede per aggiornare il ruolo personalizzato.

4. Al termine delle modifiche, fare clic sulla scheda Rivedi e crea per esaminare le modifiche.

5. Fare clic sul pulsante Aggiorna per aggiornare il ruolo personalizzato.

Eliminare un ruolo personalizzato

1. Rimuovere tutte le assegnazioni di ruolo che usano il ruolo personalizzato. Per altre informazioni, vedere Trovare assegnazioni di ruolo per eliminare un ruolo personalizzato.

2. Come descritto in precedenza in questo articolo, aprire l'elenco di ruoli personalizzati.

3. Fare clic sui puntini di sospensione (...) per il ruolo personalizzato da eliminare e quindi fare clic su Elimina.

   

   Può richiedere alcuni minuti per eliminare completamente il ruolo personalizzato.

Passaggi successivi

• Esercitazione: Creare un ruolo personalizzato di Azure con Azure PowerShell
• Ruoli personalizzati di Azure
• Operazioni del provider di risorse di Azure