Tworzenie lub aktualizowanie ról niestandardowych platformy Azure przy użyciu witryny Azure Portal

Jeśli wbudowane role platformy Azure nie spełniają konkretnych potrzeb organizacji, możesz utworzyć własne role niestandardowe platformy Azure. Podobnie jak role wbudowane, role niestandardowe można przypisywać do użytkowników, grup i jednostek usługi w zakresach grupy zarządzania, subskrypcji i grupy zasobów. Role niestandardowe są przechowywane w katalogu Microsoft Entra i mogą być współużytkowane w ramach subskrypcji. Każdy katalog może mieć maksymalnie 5000 ról niestandardowych. Role niestandardowe można tworzyć przy użyciu witryny Azure Portal, programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST. W tym artykule opisano sposób tworzenia ról niestandardowych przy użyciu witryny Azure Portal.

Wymagania wstępne

Aby utworzyć role niestandardowe, potrzebne są następujące elementy:

• Uprawnienia do tworzenia ról niestandardowych, takie jak Właściciel lub Administrator dostępu użytkowników

Krok 1. Określanie potrzebnych uprawnień

Platforma Azure ma tysiące uprawnień, które potencjalnie można uwzględnić w roli niestandardowej. Poniżej przedstawiono niektóre metody, które mogą pomóc w określeniu uprawnień, które chcesz dodać do roli niestandardowej:

• Przyjrzyj się istniejącym wbudowanym rolam.
• Wyświetl listę usług platformy Azure, do których chcesz udzielić dostępu.
• Określ dostawców zasobów mapujących na usługi platformy Azure. Metoda wyszukiwania została opisana w dalszej części kroku 4: Uprawnienia.
• Wyszukaj dostępne uprawnienia, aby znaleźć uprawnienia, które chcesz uwzględnić. Metoda wyszukiwania została opisana w dalszej części kroku 4: Uprawnienia.

Krok 2. Wybieranie sposobu uruchamiania

Istnieją trzy sposoby rozpoczęcia tworzenia roli niestandardowej. Możesz sklonować istniejącą rolę, zacząć od podstaw lub rozpocząć od pliku JSON. Najprostszym sposobem jest znalezienie istniejącej roli, która ma większość potrzebnych uprawnień, a następnie sklonowanie i zmodyfikowanie jej dla danego scenariusza.

Klonuj rolę

Jeśli istniejąca rola nie ma wymaganych uprawnień, możesz ją sklonować, a następnie zmodyfikować uprawnienia. Wykonaj następujące kroki, aby rozpocząć klonowanie roli.

1. W witrynie Azure Portal otwórz grupę zarządzania, subskrypcję lub grupę zasobów, w której chcesz przypisać rolę niestandardową, a następnie otwórz pozycję Kontrola dostępu (IAM).

   Poniższy zrzut ekranu przedstawia stronę Kontrola dostępu (zarządzanie dostępem i tożsamościami) otwartą dla subskrypcji.

   

2. Kliknij kartę Role, aby wyświetlić listę wszystkich ról wbudowanych i niestandardowych.

3. Wyszukaj rolę, którą chcesz sklonować, taką jak rola Czytelnik rozliczeń.

4. Na końcu wiersza kliknij przycisk wielokropka ( ... ), a następnie kliknij pozycję Klonuj.

   

   Spowoduje to otwarcie edytora ról niestandardowych z wybraną opcją Klonuj rolę .

5. Przejdź do kroku 3. Podstawy.

Rozpoczynanie od zera

Jeśli wolisz, możesz wykonać następujące kroki, aby uruchomić rolę niestandardową od podstaw.

1. W witrynie Azure Portal otwórz grupę zarządzania, subskrypcję lub grupę zasobów, w której chcesz przypisać rolę niestandardową, a następnie otwórz pozycję Kontrola dostępu (IAM).

2. Kliknij przycisk Dodaj , a następnie kliknij pozycję Dodaj rolę niestandardową.

   

   Spowoduje to otwarcie edytora ról niestandardowych z wybraną opcją Rozpocznij od podstaw .

3. Przejdź do kroku 3. Podstawy.

Zacznij od JSON

Jeśli wolisz, możesz określić większość niestandardowych wartości roli w pliku JSON. Plik można otworzyć w edytorze ról niestandardowych, wprowadzić dodatkowe zmiany, a następnie utworzyć rolę niestandardową. Wykonaj następujące kroki, aby rozpocząć od pliku JSON.

1. Utwórz plik JSON o następującym formacie:

   {
       "properties": {
           "roleName": "",
           "description": "",
           "assignableScopes": [],
           "permissions": [
               {
                   "actions": [],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

2. W pliku JSON określ wartości dla różnych właściwości. Oto przykład z dodanymi wartościami. Aby uzyskać informacje o różnych właściwościach, zobacz Omówienie definicji ról platformy Azure.

   {
       "properties": {
           "roleName": "Billing Reader Plus",
           "description": "Read billing data and download invoices",
           "assignableScopes": [
               "/subscriptions/11111111-1111-1111-1111-111111111111"
           ],
           "permissions": [
               {
                   "actions": [
                       "Microsoft.Authorization/*/read",
                       "Microsoft.Billing/*/read",
                       "Microsoft.Commerce/*/read",
                       "Microsoft.Consumption/*/read",
                       "Microsoft.Management/managementGroups/read",
                       "Microsoft.CostManagement/*/read",
                       "Microsoft.Support/*"
                   ],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

3. W witrynie Azure Portal otwórz stronę Kontrola dostępu (IAM).

4. Kliknij przycisk Dodaj , a następnie kliknij pozycję Dodaj rolę niestandardową.

   

   Spowoduje to otwarcie edytora ról niestandardowych.

5. Na karcie Podstawowe w obszarze Uprawnienia do punktu odniesienia wybierz pozycję Rozpocznij w formacie JSON.

6. Obok pola Wybierz plik kliknij przycisk folderu, aby otworzyć okno dialogowe Otwieranie.

7. Wybierz plik JSON, a następnie kliknij przycisk Otwórz.

8. Przejdź do kroku 3. Podstawy.

Krok 3. Podstawy

Na karcie Podstawowe określ nazwę, opis i uprawnienia punktu odniesienia dla roli niestandardowej.

1. W polu Nazwa roli niestandardowej określ nazwę roli niestandardowej. Nazwa musi być unikatowa dla katalogu Microsoft Entra. Nazwa może zawierać litery, cyfry, spacje i znaki specjalne.

2. W polu Opis określ opcjonalny opis roli niestandardowej. Stanie się to etykietką narzędzia roli niestandardowej.

   Opcja Uprawnienia punktu odniesienia powinna być już ustawiona na podstawie poprzedniego kroku, ale można je zmienić.

   

Krok 4. Uprawnienia

Na karcie Uprawnienia określ uprawnienia roli niestandardowej. W zależności od tego, czy została sklonowana rola, czy też jeśli została uruchomiona w formacie JSON, karta Uprawnienia może już zawierać listę niektórych uprawnień.

Dodawanie lub usuwanie uprawnień

Wykonaj następujące kroki, aby dodać lub usunąć uprawnienia dla roli niestandardowej.

1. Aby dodać uprawnienia, kliknij pozycję Dodaj uprawnienia , aby otworzyć okienko Dodawanie uprawnień.

   W tym okienku wymieniono wszystkie dostępne uprawnienia pogrupowane w różne kategorie w formacie karty. Każda kategoria reprezentuje dostawcę zasobów, czyli usługę dostarczającą zasoby platformy Azure.

2. W polu Wyszukaj uprawnienie wpisz ciąg, aby wyszukać uprawnienia. Na przykład wyszukaj fakturę, aby znaleźć uprawnienia związane z fakturą.

   Zostanie wyświetlona lista kart dostawcy zasobów na podstawie ciągu wyszukiwania. Aby uzyskać listę mapowania dostawców zasobów na usługi platformy Azure, zobacz Dostawcy zasobów dla usług platformy Azure.

   

3. Kliknij kartę dostawcy zasobów, która może mieć uprawnienia, które chcesz dodać do roli niestandardowej, na przykład Rozliczenia firmy Microsoft.

   Lista uprawnień do zarządzania dla tego dostawcy zasobów jest wyświetlana na podstawie ciągu wyszukiwania.

   

4. Jeśli szukasz uprawnień, które mają zastosowanie do płaszczyzny danych, kliknij pozycję Akcje danych. W przeciwnym razie pozostaw przełącznik akcji ustawiony na Akcje , aby wyświetlić listę uprawnień, które mają zastosowanie do płaszczyzny sterowania. Aby uzyskać więcej informacji, na temat różnic między płaszczyzną sterowania i płaszczyzną danych, zobacz Control and data actions (Akcje sterowania i danych).

5. W razie potrzeby zaktualizuj ciąg wyszukiwania, aby jeszcze bardziej uściślić wyszukiwanie.

6. Po znalezieniu co najmniej jednego uprawnienia, które chcesz dodać do roli niestandardowej, dodaj znacznik wyboru obok uprawnień. Na przykład dodaj znacznik wyboru obok pozycji Inne: Pobierz fakturę , aby dodać uprawnienie do pobierania faktur.

7. Kliknij przycisk Dodaj , aby dodać uprawnienie do listy uprawnień.

   Uprawnienie jest dodawane jako element Actions lub DataActions.

   

8. Aby usunąć uprawnienia, kliknij ikonę usuwania na końcu wiersza. W tym przykładzie, ponieważ użytkownik nie będzie potrzebował możliwości tworzenia biletów pomocy technicznej, Microsoft.Support/* można usunąć uprawnienie.

Dodawanie uprawnień z symbolami wieloznacznymi

W zależności od wybranego sposobu uruchamiania możesz mieć uprawnienia z symbolami wieloznacznymi (*) na liście uprawnień. Symbol wieloznaczny (*) rozszerza uprawnienie do wszystkich elementów pasujących do podanego ciągu akcji. Na przykład poniższy ciąg wieloznaczny dodaje wszystkie uprawnienia związane z usługą Azure Cost Management i eksportami. Obejmuje to również wszelkie przyszłe uprawnienia eksportu, które mogą zostać dodane.

Microsoft.CostManagement/exports/*

Jeśli chcesz dodać nowe uprawnienie z symbolami wieloznacznymi, nie możesz dodać go przy użyciu okienka Dodawanie uprawnień . Aby dodać uprawnienie z symbolami wieloznacznymi, musisz dodać je ręcznie przy użyciu karty JSON . Aby uzyskać więcej informacji, zobacz Krok 6: JSON.

Uwaga

Zaleca się określenie Actions i DataActions jawnie zamiast używania symbolu wieloznakowego (*). Dodatkowy dostęp i uprawnienia przyznane w przyszłości Actions lub DataActions może być niepożądanym zachowaniem przy użyciu symbolu wieloznakowego.

Wykluczanie uprawnień

Jeśli Twoja rola ma uprawnienie z symbolami wieloznacznymi (*) i chcesz wykluczyć lub odjąć określone uprawnienia z tego uprawnienia z symbolami wieloznacznymi, możesz je wykluczyć. Załóżmy na przykład, że masz następujące uprawnienia z symbolami wieloznacznymi:

Microsoft.CostManagement/exports/*

Jeśli nie chcesz zezwalać na usuwanie eksportu, możesz wykluczyć następujące uprawnienie do usuwania:

Microsoft.CostManagement/exports/delete

Po wykluczeniu uprawnienia zostanie ono dodane jako lub NotActionsNotDataActions. Efektywne uprawnienia do zarządzania są obliczane przez dodanie wszystkich elementów Actions , a następnie odejmowanie wszystkich elementów NotActions. Efektywne uprawnienia danych są obliczane przez dodanie wszystkich elementów DataActions , a następnie odejmowanie wszystkich elementów NotDataActions.

Uwaga

Wykluczenie uprawnienia nie jest takie samo jak odmowa. Wykluczanie uprawnień to po prostu wygodny sposób odejmowania uprawnień z uprawnienia z symbolami wieloznacznymi.

1. Aby wykluczyć lub odjąć uprawnienie z dozwolonego uprawnienia z symboli wieloznacznych, kliknij pozycję Wyklucz uprawnienia , aby otworzyć okienko Wyklucz uprawnienia.

   W tym okienku określisz uprawnienia do zarządzania lub danych, które są wykluczone lub odejmowane.

2. Po znalezieniu co najmniej jednego uprawnienia, które chcesz wykluczyć, dodaj znacznik wyboru obok uprawnień, a następnie kliknij przycisk Dodaj .

   

   Uprawnienie jest dodawane jako lub NotActionsNotDataActions.

   

Krok 5. Przypisywanie zakresów

Na karcie Zakresy możliwe do przypisania określ, gdzie jest dostępna rola niestandardowa, na przykład grupa zarządzania, subskrypcje lub grupy zasobów. W zależności od wybranego sposobu uruchamiania ta karta może już wyświetlić zakres, w którym została otwarta strona Kontrola dostępu (IAM).

W zakresach możliwych do przypisania można zdefiniować tylko jedną grupę zarządzania. Ustawienie zakresu możliwego do przypisania do zakresu głównego ("/") nie jest obsługiwane.

1. Kliknij pozycję Dodaj zakresy możliwe do przypisania, aby otworzyć okienko Dodawanie zakresów możliwych do przypisania.

   

2. Kliknij co najmniej jeden zakres, którego chcesz użyć, zazwyczaj subskrypcja.

   

3. Kliknij przycisk Dodaj, aby dodać możliwy do przypisania zakres.

Krok 6. Kod JSON

Na karcie JSON zobaczysz rolę niestandardową sformatowaną w formacie JSON. Jeśli chcesz, możesz bezpośrednio edytować kod JSON.

1. Aby edytować kod JSON, kliknij przycisk Edytuj.

   

2. Wprowadź zmiany w formacie JSON.

   Jeśli kod JSON nie jest poprawnie sformatowany, zobaczysz czerwoną linię postrzępionych i wskaźnik w pionowej rynnie.

3. Po zakończeniu edycji kliknij przycisk Zapisz.

Krok 7. Przeglądanie i tworzenie

Na karcie Przeglądanie i tworzenie możesz przejrzeć ustawienia roli niestandardowej.

1. Przejrzyj ustawienia roli niestandardowej.

   

2. Kliknij przycisk Utwórz , aby utworzyć rolę niestandardową.

   Po kilku chwilach zostanie wyświetlone okno komunikatu z informacją o pomyślnym utworzeniu roli niestandardowej.

   

   Jeśli zostaną wykryte jakiekolwiek błędy, zostanie wyświetlony komunikat.

   

3. Wyświetl nową rolę niestandardową na liście Role . Jeśli rola niestandardowa nie jest widoczna, kliknij przycisk Odśwież.

   Wyświetlenie roli niestandardowej wszędzie może potrwać kilka minut.

Wyświetlanie ról niestandardowych

Wykonaj następujące kroki, aby wyświetlić role niestandardowe.

1. Otwórz grupę zarządzania, subskrypcję lub grupę zasobów, a następnie otwórz pozycję Kontrola dostępu (IAM).

2. Kliknij kartę Role, aby wyświetlić listę wszystkich ról wbudowanych i niestandardowych.

3. Na liście Typ wybierz pozycję CustomRole, aby wyświetlić swoje role niestandardowe.

   Jeśli właśnie utworzono rolę niestandardową i nie widzisz jej na liście, kliknij przycisk Odśwież.

   

Aktualizacja roli niestandardowej

1. Jak opisano wcześniej w tym artykule, otwórz listę ról niestandardowych.

2. Kliknij wielokropek (...) dla roli niestandardowej, którą chcesz zaktualizować, a następnie kliknij przycisk Edytuj. Pamiętaj, że nie można aktualizować ról wbudowanych.

   Rola niestandardowa zostanie otwarta w edytorze.

   

3. Użyj poszczególnych kart, aby zaktualizować rolę niestandardową.

4. Po zakończeniu wprowadzania zmian kliknij kartę Przeglądanie i tworzenie , aby przejrzeć zmiany.

5. Kliknij przycisk Aktualizuj, aby zaktualizować rolę niestandardową.

Usuwanie roli niestandardowej

1. Usuń wszystkie przypisania ról, które używają roli niestandardowej. Aby uzyskać więcej informacji, zobacz Znajdowanie przypisań ról w celu usunięcia roli niestandardowej.

2. Jak opisano wcześniej w tym artykule, otwórz listę ról niestandardowych.

3. Kliknij wielokropek (...) dla roli niestandardowej, którą chcesz usunąć, a następnie kliknij przycisk Usuń.

   

   Całkowite usunięcie roli niestandardowej może potrwać kilka minut.

Następne kroki

• Samouczek: tworzenie roli niestandardowej platformy Azure przy użyciu programu Azure PowerShell
• Role niestandardowe platformy Azure
• Operacje dostawcy zasobów platformy Azure