Configurare i ruoli personalizzati di Azure

  • 3 minuti

Se i ruoli predefiniti di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli di Azure personalizzati. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio nell'ambito del gruppo di gestione (solo in anteprima) della sottoscrizione e del gruppo di risorse. I ruoli personalizzati vengono archiviati in un ID Microsoft Entra e possono essere condivisi tra sottoscrizioni. Ogni directory può avere fino a 5000 ruoli personalizzati. I ruoli personalizzati possono essere creati usando il portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

Creare il ruolo personalizzato dall'interfaccia utente

Screenshot della schermata Microsoft Entra ID con una nuova finestra di dialogo del ruolo personalizzato. Seleziona gli attributi che si desidera assegnare al ruolo.

È necessario assegnare un ruolo personalizzato a un utente, a un gruppo o a un'altra risorsa come si fa per i ruoli predefiniti. L'amministratore ottiene il controllo delle funzionalità a cui ha accesso il ruolo personalizzato. Il principio dei privilegi minimi consente di scegliere solo le funzionalità necessarie. Per creare il ruolo personalizzato:

  1. Apri l’nterfaccia di amministrazione di Microsoft Entra.
  2. Dal menu Identità, seleziona Ruoli e amministrazione.
  3. Selezionare + Nuovo ruolo personalizzato.
  4. Assegnare quindi il nome e assegnare le funzionalità necessarie.

Creare un ruolo personalizzato da un modello JSON

È possibile usare un file JSON per creare un ruolo personalizzato. Di seguito è riportato un esempio:

{
    "properties": {
        "roleName": "Billing Reader Plus",
        "description": "Read billing data and download invoices",
        "assignableScopes": [
            "/subscriptions/your-subscription-number"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Billing/*/read",
                    "Microsoft.Commerce/*/read",
                    "Microsoft.Consumption/*/read",
                    "Microsoft.Management/managementGroups/read",
                    "Microsoft.CostManagement/*/read",
                    "Microsoft.Support/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

L'asterisco (*) viene usato come carattere jolly. Se è necessario assegnare tutte le autorizzazioni read dalla risorsa Billing, usare questo comando Microsoft/Billing/*/read. Il carattere jolly può essere usato in qualsiasi livello.