New-AzRoleDefinition
Azure RBAC でカスタム ロールを作成します。 JSON ロール定義ファイルまたは PSRoleDefinition オブジェクトを入力として指定します。 まず、Get-AzRoleDefinition コマンドを使用して、ベースライン ロール定義オブジェクトを生成します。 次に、必要に応じてプロパティを変更します。 最後に、このコマンドを使用して、ロール定義を使用してカスタム ロールを作成します。
構文
New-AzRoleDefinition
[-InputFile] <String>
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleDefinition
[-Role] <PSRoleDefinition>
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] 説明
New-AzRoleDefinition コマンドレットは、Azure ロールベースのアクセス制御でカスタム ロールを作成します。 JSON ファイルまたは PSRoleDefinition オブジェクトとして、コマンドへの入力としてロール定義を指定します。 入力ロールの定義には、次のプロパティが含まれている必要があります。
- DisplayName: カスタム ロールの名前
- 説明: ロールが付与するアクセスを要約したロールの簡単な説明。
- アクション: カスタム ロールがアクセスを許可する操作のセット。 Get-AzProviderOperation を使用して、Azure RBAC を使用してセキュリティで保護できる Azure リソース プロバイダーの操作を取得します。 有効な操作文字列を次に示します。
- "*/read" は、すべての Azure リソース プロバイダーの読み取り操作へのアクセスを許可します。
- "Microsoft.Network/*/read" は、Azure の Microsoft.Network リソース プロバイダー内のすべてのリソースの種類に対する読み取り操作へのアクセスを許可します。
- "Microsoft.Compute/virtualMachines/*" は、仮想マシンとその子リソースの種類のすべての操作へのアクセスを許可します。
- AssignableScopes: カスタム ロールを割り当て可能にするスコープのセット (Azure サブスクリプションまたはリソース グループ)。 AssignableScopes を使用すると、カスタム ロールを必要とするサブスクリプションまたはリソース グループでのみ割り当て可能にし、残りのサブスクリプションまたはリソース グループのユーザー エクスペリエンスを乱雑にしないようにすることができます。 有効な割り当て可能なスコープを次に示します。
- "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e", "/subscriptions/e91d47c4-76f3-4271-a796-21b4ecfe3624": ロールを 2 つのサブスクリプションで割り当て可能にします。
- "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e": ロールを 1 つのサブスクリプションで割り当て可能にします。
- "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e/resourceGroups/Network": このロールは、ネットワーク リソース グループ内でのみ割り当て可能になります。 入力ロール定義 MAY には、次のプロパティが含まれます。
- NotActions: カスタム ロールの有効なアクションを決定するためにアクションから除外する必要がある一連の操作。 カスタム ロールでアクセス権を付与しない特定の操作がある場合は、アクションで特定の操作以外のすべての操作を指定するのではなく、NotActions を使用して除外すると便利です。
- DataActions: カスタム ロールがアクセスを許可するデータ操作のセット。
- NotDataActions: カスタム ロールの有効なデータ アクションを決定するために DataActions から除外する必要がある一連の操作。 カスタム ロールでアクセス権を付与しない特定のデータ操作がある場合は、アクションで特定の操作以外のすべての操作を指定するのではなく、NotDataActions を使用して除外すると便利です。 注: NotActions で操作を指定するロールがユーザーに割り当てられ、別のロールも割り当てられている場合は、同じ操作へのアクセス権が付与されます。ユーザーはその操作を実行できます。 NotActions は拒否ルールではありません。特定の操作を除外する必要がある場合に、許可される一連の操作を作成するだけの便利な方法です。 次に示すのは、入力 { "名前": "更新されたロール"、"説明": "すべてのリソースを監視し、仮想マシンを起動および再起動できる" として指定できる json ロール定義のサンプルです。 "Actions": [ "/read", "Microsoft.ClassicCompute/virtualmachines/restart/action", "Microsoft.ClassicCompute/virtualmachines/start/action" ], "NotActions": [ "/write" ], "DataActions": [ "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read" ], "NotDataActions": [Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write" ], "AssignableScopes": ["/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"] }
例
例 1: PSRoleDefinitionObject を使用して作成する
$role = New-Object -TypeName Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition
$role.Name = 'Virtual Machine Operator'
$role.Description = 'Can monitor, start, and restart virtual machines.'
$role.IsCustom = $true
$role.AssignableScopes = @("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx")
$role.Actions = @(
"Microsoft.Compute/*/read"
"Microsoft.Compute/virtualMachines/start/action"
"Microsoft.Compute/virtualMachines/restart/action"
"Microsoft.Compute/virtualMachines/downloadRemoteDesktopConnectionFile/action"
"Microsoft.Network/*/read"
"Microsoft.Storage/*/read"
"Microsoft.Authorization/*/read"
"Microsoft.Resources/subscriptions/resourceGroups/read"
"Microsoft.Resources/subscriptions/resourceGroups/resources/read"
"Microsoft.Insights/alertRules/*"
"Microsoft.Support/*"
)
New-AzRoleDefinition -Role $role例 2: JSON ファイルを使用して作成する
New-AzRoleDefinition -InputFile C:\Temp\roleDefinition.jsonパラメーター
-DefaultProfile
Azure との通信に使用される資格情報、アカウント、テナント、サブスクリプション
| Type: | IAzureContextContainer |
| Aliases: | AzContext, AzureRmContext, AzureCredential |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InputFile
単一の json ロール定義を含むファイル名。
| Type: | String |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
ロール定義オブジェクト。
| Type: | PSRoleDefinition |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-SkipClientSideScopeValidation
指定した場合は、クライアント側のスコープの検証をスキップします。
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
入力
None
出力
メモ
キーワード: azure, azurerm, arm, リソース, 管理, マネージャー, リソース, グループ, テンプレート, デプロイ
関連リンク
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Azure PowerShell
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示