Configurare i ruoli personalizzati di Azure

  • 3 minuti

Se i ruoli predefiniti di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli di Azure personalizzati. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio nell'ambito del gruppo di gestione (solo in anteprima) della sottoscrizione e del gruppo di risorse. I ruoli personalizzati vengono archiviati in un ID Microsoft Entra e possono essere condivisi tra sottoscrizioni. Ogni directory può avere fino a 5000 ruoli personalizzati. I ruoli personalizzati possono essere creati usando il portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

Creare il ruolo personalizzato dall'interfaccia utente

Screenshot of the Microsoft Entra ID screen with a new custom role dialog. Select the attributes you want to role to have.

È necessario assegnare un ruolo personalizzato a un utente, a un gruppo o a un'altra risorsa come si fa per i ruoli predefiniti. L'amministratore ottiene il controllo delle funzionalità a cui ha accesso il ruolo personalizzato. Il principio dei privilegi minimi consente di scegliere solo le funzionalità necessarie. Per creare il ruolo personalizzato:

  1. Apri l’nterfaccia di amministrazione di Microsoft Entra.
  2. Dal menu Identità, seleziona Ruoli e amministrazione.
  3. Selezionare + Nuovo ruolo personalizzato.
  4. Assegnare quindi il nome e assegnare le funzionalità necessarie.

Creare un ruolo personalizzato da un modello JSON

È possibile usare un file JSON per creare un ruolo personalizzato. Di seguito è riportato un esempio:

{
    "properties": {
        "roleName": "Billing Reader Plus",
        "description": "Read billing data and download invoices",
        "assignableScopes": [
            "/subscriptions/your-subscription-number"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Billing/*/read",
                    "Microsoft.Commerce/*/read",
                    "Microsoft.Consumption/*/read",
                    "Microsoft.Management/managementGroups/read",
                    "Microsoft.CostManagement/*/read",
                    "Microsoft.Support/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

L'asterisco (*) viene usato come carattere jolly. Se è necessario assegnare tutte le autorizzazioni read dalla risorsa Billing, usare questo comando Microsoft/Billing/*/read. Il carattere jolly può essere usato in qualsiasi livello.