Guida introduttiva: Assegnare un ruolo di Azure con Bicep
Per gestire l'accesso alle risorse di Azure, si usa il controllo degli accessi in base al ruolo Azure. Questa guida introduttiva illustra come creare un gruppo di risorse e come concedere l'accesso a un utente in modo che possa creare e gestire macchine virtuali nel gruppo di risorse. Questa guida introduttiva usa Bicep per concedere l'accesso.
Bicep è un linguaggio specifico di dominio (DSL) che usa la sintassi dichiarativa per distribuire le risorse di Azure. Offre sintassi concisa, indipendenza dai tipi affidabile e supporto per il riutilizzo del codice. Bicep offre la migliore esperienza di creazione per le soluzioni di infrastruttura come codice in Azure.
Prerequisiti
Per assegnare ruoli di Azure e rimuovere le assegnazioni di ruolo, è necessario disporre di:
- Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Microsoft.Authorization/roleAssignments/writeeMicrosoft.Authorization/roleAssignments/deletele autorizzazioni, ad esempio Controllo di accesso Amministrazione istrator basato su ruoli.- Per assegnare un ruolo, è necessario specificare tre elementi: entità di sicurezza, definizione del ruolo e ambito. Per questa guida introduttiva, l'entità di sicurezza è l'utente o un altro utente nella directory, la definizione del ruolo è Collaboratore macchina virtuale e l'ambito è un gruppo di risorse specificato.
Esaminare il file Bicep
Il file Bicep usato in questo avvio rapido proviene dai modelli di avvio rapido di Azure. Il file Bicep ha due parametri e una sezione resources. In tale sezione sono presenti i tre elementi di un'assegnazione di ruolo, ovvero l'entità di sicurezza, la definizione del ruolo e l'ambito.
@description('Specifies the role definition ID used in the role assignment.')
param roleDefinitionID string
@description('Specifies the principal ID assigned to the role.')
param principalId string
var roleAssignmentName= guid(principalId, roleDefinitionID, resourceGroup().id)
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
name: roleAssignmentName
properties: {
roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionID)
principalId: principalId
}
}
output name string = roleAssignment.name
output resourceGroupName string = resourceGroup().name
output resourceId string = roleAssignment.id
La risorsa definita nel file Bicep è:
Distribuire il file Bicep
Salvare il file Bicep come main.bicep nel computer locale.
Distribuire il file Bicep usando l'interfaccia della riga di comando di Azure o Azure PowerShell.
az group create --name exampleRG --location eastus az deployment group create --resource-group exampleRG --template-file main.bicep --parameters roleDefinitionID=9980e02c-c2be-4d73-94e8-173b1dc7cf3c principalId=<principal-id>
Nota
Sostituire <principal-id> con l'ID entità assegnato al ruolo.
Al termine della distribuzione, verrà visualizzato un messaggio che indica che la distribuzione è riuscita.
Esaminare le risorse distribuite
Usare il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell per elencare le risorse distribuite nel gruppo di risorse.
az role assignment list --resource-group exampleRG
Pulire le risorse
Quando non è più necessario, usare il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell per rimuovere l'assegnazione di ruolo. Per altre informazioni, vedere Rimuovere le assegnazioni di ruolo di Azure.
Usare il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell per eliminare il gruppo di risorse.
az group delete --name exampleRG