Aangepaste Azure-rollen maken of bijwerken met behulp van Azure Portal
Als de ingebouwde Azure-rollen niet voldoen aan de specifieke behoeften van uw organisatie, kunt u uw eigen aangepaste Azure-rollen maken. Net als ingebouwde rollen kunt u aangepaste rollen toewijzen aan gebruikers, groepen en service-principals in beheergroep, abonnements- en resourcegroepbereiken. Aangepaste rollen worden opgeslagen in een Microsoft Entra-map en kunnen worden gedeeld tussen abonnementen. Elke map kan maximaal 5000 aangepaste rollen hebben. Aangepaste rollen kunnen worden gemaakt met behulp van Azure Portal, Azure PowerShell, Azure CLI of de REST API. In dit artikel wordt beschreven hoe u aangepaste rollen maakt met behulp van Azure Portal.
Vereisten
Als u aangepaste rollen wilt maken, hebt u het volgende nodig:
- Machtigingen voor het maken van aangepaste rollen, zoals Eigenaar of Administrator voor gebruikerstoegang
Stap 1: De machtigingen bepalen die u nodig hebt
Azure heeft duizenden machtigingen die u mogelijk kunt opnemen in uw aangepaste rol. Hier volgen enkele methoden waarmee u de machtigingen kunt bepalen die u wilt toevoegen aan uw aangepaste rol:
- Bekijk bestaande ingebouwde rollen.
- Vermeld de Azure-services waarvoor u toegang wilt verlenen.
- Bepaal de resourceproviders die zijn toegewezen aan de Azure-services. Verderop in stap 4 wordt een zoekmethode beschreven: Machtigingen.
- Zoek in de beschikbare machtigingen om machtigingen te vinden die u wilt opnemen. Verderop in stap 4 wordt een zoekmethode beschreven: Machtigingen.
Stap 2: Kiezen hoe u wilt beginnen
Er zijn drie manieren waarop u een aangepaste rol kunt maken. U kunt een bestaande rol klonen, helemaal opnieuw beginnen of beginnen met een JSON-bestand. De eenvoudigste manier is om een bestaande rol te vinden met de meeste machtigingen die u nodig hebt en deze vervolgens te klonen en te wijzigen voor uw scenario.
Een rol klonen
Als een bestaande rol niet helemaal over de benodigde machtigingen beschikt, kunt u deze klonen en vervolgens de machtigingen wijzigen. Volg deze stappen om een rol te klonen.
Open in Azure Portal een beheergroep, abonnement of resourcegroep waaraan u de aangepaste rol wilt toewijzen en open vervolgens Toegangsbeheer (IAM).
In de volgende schermopname ziet u de pagina Toegangsbeheer (IAM) die is geopend voor een abonnement.
Klik op het tabblad Rollen om een lijst te zien met alle ingebouwde en aangepaste rollen.
Zoek een rol die u wilt klonen, bijvoorbeeld de rol Factureringslezer.
Klik aan het eind van de rij op het weglatingsteken ( ... ) en klik vervolgens op Klonen.
Hiermee opent u de editor voor aangepaste rollen met de optie Een rol klonen geselecteerd.
Ga verder met stap 3: Basisbeginselen.
De procedure vanaf het begin uitvoeren
Als u wilt, kunt u deze stappen volgen om een volledig nieuwe aangepaste rol te starten.
Open in Azure Portal een beheergroep, abonnement of resourcegroep waaraan u de aangepaste rol wilt toewijzen en open vervolgens Toegangsbeheer (IAM).
Klik op Toevoegen en klik vervolgens op Aangepaste rol toevoegen.
Hiermee opent u de editor voor aangepaste rollen met de optie Helemaal opnieuw beginnen geselecteerd.
Ga verder met stap 3: Basisbeginselen.
Maken met behulp van JSON
Als u wilt, kunt u de meeste aangepaste rolwaarden opgeven in een JSON-bestand. U kunt het bestand openen in de editor voor aangepaste rollen, aanvullende wijzigingen aanbrengen en vervolgens de aangepaste rol maken. Volg deze stappen om te beginnen met een JSON-bestand.
Maak een JSON-bestand met de volgende indeling:
{ "properties": { "roleName": "", "description": "", "assignableScopes": [], "permissions": [ { "actions": [], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }
Geef in het JSON-bestand waarden op voor de verschillende eigenschappen. Hier volgt een voorbeeld met een aantal toegevoegde waarden. Zie Inzicht in Azure-roldefinities voor meer informatie over de verschillende eigenschappen.
{ "properties": { "roleName": "Billing Reader Plus", "description": "Read billing data and download invoices", "assignableScopes": [ "/subscriptions/11111111-1111-1111-1111-111111111111" ], "permissions": [ { "actions": [ "Microsoft.Authorization/*/read", "Microsoft.Billing/*/read", "Microsoft.Commerce/*/read", "Microsoft.Consumption/*/read", "Microsoft.Management/managementGroups/read", "Microsoft.CostManagement/*/read", "Microsoft.Support/*" ], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }
Open in Azure Portal de pagina Toegangsbeheer (IAM).
Klik op Toevoegen en klik vervolgens op Aangepaste rol toevoegen.
Hiermee opent u de editor voor aangepaste rollen.
Selecteer op het tabblad Basisbeginselen in Basislijnmachtigingen de optie Starten vanuit JSON.
Klik naast het vak Een bestand selecteren op de mapknop om het dialoogvenster Openen te openen.
Selecteer het JSON-bestand en klik vervolgens op Openen.
Ga verder met stap 3: Basisbeginselen.
Stap 3: Basisbeginselen
Op het tabblad Basisinformatie geeft u de naam, beschrijving en basislijnmachtigingen voor uw aangepaste rol op.
Geef in het vak Aangepaste rolnaam een naam op voor de aangepaste rol. De naam moet uniek zijn voor de Microsoft Entra-map. De naam kan letters, cijfers, spaties en speciale tekens bevatten.
Geef in het vak Beschrijving een optionele beschrijving op voor de aangepaste rol. Dit wordt de knopinfo voor de aangepaste rol.
De optie Basislijnmachtigingen moet al zijn ingesteld op basis van de vorige stap, maar u kunt dit wijzigen.
Stap 4: Machtigingen
Op het tabblad Machtigingen geeft u de machtigingen voor uw aangepaste rol op. Afhankelijk van of u een rol hebt gekloond of als u met JSON bent begonnen, bevat het tabblad Machtigingen mogelijk al enkele machtigingen.
Machtigingen toevoegen of verwijderen
Volg deze stappen om machtigingen voor uw aangepaste rol toe te voegen of te verwijderen.
Als u machtigingen wilt toevoegen, klikt u op Machtigingen toevoegen om het deelvenster Machtigingen toevoegen te openen.
In dit deelvenster worden alle beschikbare machtigingen weergegeven die zijn gegroepeerd in verschillende categorieën in een kaartindeling. Elke categorie vertegenwoordigt een resourceprovider, een service die Azure-resources levert.
Typ in het vak Zoeken naar een machtiging een tekenreeks om te zoeken naar machtigingen. Zoek bijvoorbeeld naar facturen om machtigingen te vinden die betrekking hebben op de factuur.
Er wordt een lijst met resourceproviderkaarten weergegeven op basis van uw zoekreeks. Zie Resourceproviders voor Azure-services voor een lijst met de wijze waarop resourceproviders worden toegewezen aan Azure-services.
Klik op een resourceproviderkaart met mogelijk de machtigingen die u wilt toevoegen aan uw aangepaste rol, zoals Microsoft Billing.
Een lijst met de beheermachtigingen voor die resourceprovider wordt weergegeven op basis van uw zoekreeks.
Als u machtigingen zoekt die van toepassing zijn op het gegevensvlak, klikt u op Gegevensacties. Laat anders de wisselknop acties ingesteld op Acties om machtigingen weer te geven die van toepassing zijn op het besturingsvlak. Zie Besturings- en gegevensacties voor meer informatie over de verschillen tussen het besturingsvlak en het gegevensvlak.
Werk indien nodig de zoekreeks bij om uw zoekopdracht verder te verfijnen.
Zodra u een of meer machtigingen hebt gevonden die u aan uw aangepaste rol wilt toevoegen, voegt u een vinkje toe naast de machtigingen. Voeg bijvoorbeeld een vinkje toe naast Overige: Download factuur om de machtiging voor het downloaden van facturen toe te voegen.
Klik op Toevoegen om de machtiging toe te voegen aan uw machtigingenlijst.
De machtiging wordt toegevoegd als een
Actions
of eenDataActions
.Als u machtigingen wilt verwijderen, klikt u op het pictogram Verwijderen aan het einde van de rij. Omdat een gebruiker in dit voorbeeld niet de mogelijkheid heeft om ondersteuningstickets te maken, kan de
Microsoft.Support/*
machtiging worden verwijderd.
Machtigingen voor jokertekens toevoegen
Afhankelijk van hoe u ervoor hebt gekozen om te beginnen, hebt u mogelijk machtigingen met jokertekens (*
) in uw lijst met machtigingen. Een jokerteken (*
) breidt een machtiging uit voor alles wat overeenkomt met de actiereeks die u opgeeft. Met de volgende jokertekenreeks worden bijvoorbeeld alle machtigingen toegevoegd die betrekking hebben op Azure Cost Management en exports. Dit omvat ook toekomstige exportmachtigingen die kunnen worden toegevoegd.
Microsoft.CostManagement/exports/*
Als u een nieuwe machtiging voor jokertekens wilt toevoegen, kunt u deze niet toevoegen via het deelvenster Machtigingen toevoegen. Als u een machtiging voor jokertekens wilt toevoegen, moet u deze handmatig toevoegen met behulp van het tabblad JSON . Zie stap 6: JSON voor meer informatie.
Notitie
Het is raadzaam dat u het jokerteken () opgeeft Actions
en DataActions
expliciet in plaats van het jokerteken (*
). De extra toegang en machtigingen die via de toekomst Actions
worden verleend of DataActions
mogelijk ongewenst gedrag met behulp van het jokerteken.
Machtigingen uitsluiten
Als uw rol een machtiging met jokertekens (*
) heeft en u specifieke machtigingen van die machtiging voor jokertekens wilt uitsluiten of aftrekken, kunt u deze uitsluiten. Stel dat u de volgende machtiging voor jokertekens hebt:
Microsoft.CostManagement/exports/*
Als u niet wilt toestaan dat een export wordt verwijderd, kunt u de volgende verwijdermachtiging uitsluiten:
Microsoft.CostManagement/exports/delete
Wanneer u een machtiging uitsluit, wordt deze toegevoegd als een NotActions
of NotDataActions
. De effectieve beheermachtigingen worden berekend door alle toe Actions
te voegen en vervolgens alle NotActions
. De effectieve gegevensmachtigingen worden berekend door alle toe DataActions
te voegen en vervolgens alle NotDataActions
.
Notitie
Het uitsluiten van een machtiging is niet hetzelfde als een weigering. Het uitsluiten van machtigingen is gewoon een handige manier om machtigingen af te trekken van een machtiging met jokertekens.
Als u een machtiging wilt uitsluiten of aftrekken van een toegestane machtiging voor jokertekens, klikt u op Machtigingen uitsluiten om het deelvenster Machtigingen uitsluiten te openen.
In dit deelvenster geeft u de beheer- of gegevensmachtigingen op die worden uitgesloten of afgetrokken.
Zodra u een of meer machtigingen hebt gevonden die u wilt uitsluiten, voegt u een vinkje toe naast de machtigingen en klikt u vervolgens op de knop Toevoegen .
De machtiging wordt toegevoegd als een
NotActions
ofNotDataActions
.
Stap 5: Toewijsbare bereiken
Op het tabblad Toewijsbare bereiken geeft u op waar uw aangepaste rol beschikbaar is voor toewijzing, zoals beheergroep, abonnementen of resourcegroepen. Afhankelijk van hoe u ervoor hebt gekozen om te beginnen, kan op dit tabblad al het bereik worden vermeld waar u de pagina Toegangsbeheer (IAM) hebt geopend.
U kunt slechts één beheergroep definiëren in toewijsbare bereiken. Het instellen van toewijsbaar bereik aan hoofdbereik (/) wordt niet ondersteund.
Klik op Toewijsbare bereiken toevoegen om het deelvenster Toewijsbare bereiken toevoegen te openen.
Klik op een of meer bereiken die u wilt gebruiken, meestal uw abonnement.
Klik op de knop Toevoegen om uw toewijsbare bereik toe te voegen.
Stap 6: JSON
Op het tabblad JSON ziet u uw aangepaste rol die is opgemaakt in JSON. Desgewenst kunt u de JSON rechtstreeks bewerken.
Als u de JSON wilt bewerken, klikt u op Bewerken.
Breng wijzigingen aan in de JSON.
Als de JSON niet juist is opgemaakt, ziet u een rode onregelmatige lijn en een indicator in de verticale rugmarge.
Wanneer u klaar bent met bewerken, klikt u op Opslaan.
Stap 7: Beoordelen en maken
Op het tabblad Controleren en maken kunt u uw aangepaste rolinstellingen controleren.
Controleer uw aangepaste rolinstellingen.
Klik op Maken om uw aangepaste rol te maken.
Na enkele ogenblikken wordt er een berichtvenster weergegeven waarin wordt aangegeven dat uw aangepaste rol is gemaakt.
Als er fouten worden gedetecteerd, wordt er een bericht weergegeven.
Bekijk uw nieuwe aangepaste rol in de lijst Rollen . Als u uw aangepaste rol niet ziet, klikt u op Vernieuwen.
Het kan enkele minuten duren voordat uw aangepaste rol overal wordt weergegeven.
Aangepaste rollen opvragen
Volg deze stappen om uw aangepaste rollen weer te geven.
Open een beheergroep, abonnement of resourcegroep en open vervolgens Toegangsbeheer (IAM).
Klik op het tabblad Rollen om een lijst te zien met alle ingebouwde en aangepaste rollen.
Selecteer CustomRole in de lijst Type om alleen uw aangepaste rollen te zien.
Als u zojuist uw aangepaste rol hebt gemaakt en deze niet in de lijst wordt weergegeven, klikt u op Vernieuwen.
Een aangepaste rol bijwerken
Zoals eerder in dit artikel is beschreven, opent u de lijst met aangepaste rollen.
Klik op het beletselteken (...) voor de aangepaste rol die u wilt bijwerken en klik vervolgens op Bewerken. Houd er rekening mee dat u ingebouwde rollen niet kunt bijwerken.
De aangepaste rol wordt geopend in de editor.
Gebruik de verschillende tabbladen om de aangepaste rol bij te werken.
Zodra u klaar bent met uw wijzigingen, klikt u op het tabblad Controleren en maken om uw wijzigingen te controleren.
Klik op de knop Bijwerken om uw aangepaste rol bij te werken.
Een aangepaste rol verwijderen
Verwijder roltoewijzingen die gebruikmaken van de aangepaste rol. Zie Roltoewijzingen zoeken om een aangepaste rol te verwijderen voor meer informatie.
Zoals eerder in dit artikel is beschreven, opent u de lijst met aangepaste rollen.
Klik op het beletselteken (...) voor de aangepaste rol die u wilt verwijderen en klik vervolgens op Verwijderen.
Het kan enkele minuten duren voordat uw aangepaste rol volledig is verwijderd.