Zarządzanie rolami jednostki usługi
Aby ograniczyć dostęp do zasobów platformy Azure, możesz użyć jednostki usługi do zarządzania przypisaniami ról. Każda rola zapewnia różne uprawnienia dozwolone przez użytkownika podczas uzyskiwania dostępu do zasobów platformy Azure. W tym kroku w samouczku wyjaśniono, jak tworzyć i usuwać role jednostki usługi.
Interfejs wiersza polecenia platformy Azure ma następujące polecenia do zarządzania przypisaniami ról:
Tworzenie lub usuwanie przypisania roli
Rola Współautor ma pełne uprawnienia do odczytu i zapisu na koncie platformy Azure. Rola Czytelnik jest bardziej restrykcyjna z dostępem tylko do odczytu. Zawsze używaj zasady najniższych uprawnień. Aby uzyskać pełną listę dostępnych ról w kontroli dostępu opartej na rolach platformy Azure, zobacz Role wbudowane platformy Azure.
Dodanie roli nie ogranicza wcześniej przypisanych uprawnień. W tym przykładzie dodano rolę Czytelnik i usunięto rolę Współautor :
az role assignment create --assignee myServicePrincipalID \
--role Reader \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
az role assignment delete --assignee myServicePrincipalID \
--role Contributor \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
Konsola wyjściowa:
{
"condition": null,
"conditionVersion": null,
"createdBy": null,
"createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
"delegatedManagedIdentityResourceId": null,
"description": null,
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
"name": "00000000-0000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-0000-000000000000",
"principalType": "ServicePrincipal",
"roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
"type": "Microsoft.Authorization/roleAssignments",
"updatedBy": "00000000-0000-0000-0000-000000000000",
"updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}
Jak uzyskać wartość parametru zakresu
Jednym z pytań, które może mieć, jest "Jak mogę znać wartość parametru--scope?" Odpowiedzią jest znalezienie i skopiowanie identyfikatora zasobu platformy Azure, do których jednostka usługi musi uzyskać dostęp. Te informacje znajdują się zwykle na stronie Właściwości lub Punkty końcowe witryny Azure Portal dla każdego zasobu. Oto typowe --scope przykłady, ale polegaj na identyfikatorze zasobu dla rzeczywistego formatu i wartości.
| Zakres | Przykład |
|---|---|
| Subskrypcja | /subscriptions/mySubscriptionID |
| Grupa zasobów | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName |
| Maszyna wirtualna | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Compute/virtualMachines/myVMname |
| Usługa plików konta magazynu | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Storage/storageAccounts/myStorageAccountName/fileServices/default |
| Fabryka danych | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.DataFactory/factories/myDataFactoryName |
Aby uzyskać więcej przykładów zakresu, zobacz Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.
Weryfikowanie zmian
Zmiany można zweryfikować przez wyświetlenie listy przypisanych ról:
# list all role assignments for the current subscription
az role assignment list ---output table
# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com
# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID
Możesz również przejść do witryny Azure Portal i ręcznie przypisać rolę do jednostki usługi z menu Kontrola dostępu (IAM). Aby uzyskać więcej przykładów dotyczących wyświetlania listy przypisań ról, zobacz Wyświetlanie listy przypisań ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.
Następne kroki
Teraz, gdy wiesz już, jak zarządzać rolami jednostki usługi, przejdź do następnego kroku, aby dowiedzieć się, jak utworzyć zasób przy użyciu jednostek usługi.