Udostępnij za pośrednictwem


Zarządzanie rolami jednostki usługi

Aby ograniczyć dostęp do zasobów platformy Azure, możesz użyć jednostki usługi do zarządzania przypisaniami ról. Każda rola zapewnia różne uprawnienia dozwolone przez użytkownika podczas uzyskiwania dostępu do zasobów platformy Azure. W tym kroku w samouczku wyjaśniono, jak tworzyć i usuwać role jednostki usługi.

Interfejs wiersza polecenia platformy Azure ma następujące polecenia do zarządzania przypisaniami ról:

Tworzenie lub usuwanie przypisania roli

Rola Współautor ma pełne uprawnienia do odczytu i zapisu na koncie platformy Azure. Rola Czytelnik jest bardziej restrykcyjna z dostępem tylko do odczytu. Zawsze używaj zasady najniższych uprawnień. Aby uzyskać pełną listę dostępnych ról w kontroli dostępu opartej na rolach platformy Azure, zobacz Role wbudowane platformy Azure.

Dodanie roli nie ogranicza wcześniej przypisanych uprawnień. W tym przykładzie dodano rolę Czytelnik i usunięto rolę Współautor :

az role assignment create --assignee myServicePrincipalID \
                          --role Reader \
                          --scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName

az role assignment delete --assignee myServicePrincipalID \
                          --role Contributor \
                          --scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName

Konsola wyjściowa:

{
  "condition": null,
  "conditionVersion": null,
  "createdBy": null,
  "createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
  "delegatedManagedIdentityResourceId": null,
  "description": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "name": "00000000-0000-0000-0000-000000000000",
  "principalId": "00000000-0000-0000-0000-000000000000",
  "principalType": "ServicePrincipal",
  "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
  "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
  "type": "Microsoft.Authorization/roleAssignments",
  "updatedBy": "00000000-0000-0000-0000-000000000000",
  "updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}

Jak uzyskać wartość parametru zakresu

Jednym z pytań, które może mieć, jest "Jak mogę znać wartość parametru--scope?" Odpowiedzią jest znalezienie i skopiowanie identyfikatora zasobu platformy Azure, do których jednostka usługi musi uzyskać dostęp. Te informacje znajdują się zwykle na stronie Właściwości lub Punkty końcowe witryny Azure Portal dla każdego zasobu. Oto typowe --scope przykłady, ale polegaj na identyfikatorze zasobu dla rzeczywistego formatu i wartości.

Zakres Przykład
Subskrypcja /subscriptions/mySubscriptionID
Grupa zasobów /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
Maszyna wirtualna /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Compute/virtualMachines/myVMname
Usługa plików konta magazynu /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Storage/storageAccounts/myStorageAccountName/fileServices/default
Fabryka danych /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.DataFactory/factories/myDataFactoryName

Aby uzyskać więcej przykładów zakresu, zobacz Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.

Weryfikowanie zmian

Zmiany można zweryfikować przez wyświetlenie listy przypisanych ról:

# list all role assignments for the current subscription
az role assignment list ---output table

# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com

# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID

Możesz również przejść do witryny Azure Portal i ręcznie przypisać rolę do jednostki usługi z menu Kontrola dostępu (IAM). Aby uzyskać więcej przykładów dotyczących wyświetlania listy przypisań ról, zobacz Wyświetlanie listy przypisań ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Następne kroki 

Teraz, gdy wiesz już, jak zarządzać rolami jednostki usługi, przejdź do następnego kroku, aby dowiedzieć się, jak utworzyć zasób przy użyciu jednostek usługi.