Configurare i ruoli personalizzati di Azure
Se i ruoli predefiniti di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli di Azure personalizzati. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio nell'ambito del gruppo di gestione (solo in anteprima) della sottoscrizione e del gruppo di risorse. I ruoli personalizzati vengono archiviati in un ID Microsoft Entra e possono essere condivisi tra sottoscrizioni. Ogni directory può avere fino a 5000 ruoli personalizzati. I ruoli personalizzati possono essere creati usando il portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.
Creare il ruolo personalizzato dall'interfaccia utente
È necessario assegnare un ruolo personalizzato a un utente, a un gruppo o a un'altra risorsa come si fa per i ruoli predefiniti. L'amministratore ottiene il controllo delle funzionalità a cui ha accesso il ruolo personalizzato. Il principio dei privilegi minimi consente di scegliere solo le funzionalità necessarie. Per creare il ruolo personalizzato:
- Apri l’nterfaccia di amministrazione di Microsoft Entra.
- Dal menu Identità, seleziona Ruoli e amministrazione.
- Selezionare + Nuovo ruolo personalizzato.
- Assegnare quindi il nome e assegnare le funzionalità necessarie.
Creare un ruolo personalizzato da un modello JSON
È possibile usare un file JSON per creare un ruolo personalizzato. Di seguito è riportato un esempio:
{
"properties": {
"roleName": "Billing Reader Plus",
"description": "Read billing data and download invoices",
"assignableScopes": [
"/subscriptions/your-subscription-number"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Billing/*/read",
"Microsoft.Commerce/*/read",
"Microsoft.Consumption/*/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.CostManagement/*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
L'asterisco (*
) viene usato come carattere jolly. Se è necessario assegnare tutte le autorizzazioni read dalla risorsa Billing, usare questo comando Microsoft/Billing/*/read. Il carattere jolly può essere usato in qualsiasi livello.