Função Microsoft.AuthorizationAssignments
Definição de recurso do Bicep
O tipo de recurso roleAssignments é um recurso de extensão, o que significa que você pode aplicá-lo a outro recurso.
Use a scope propriedade nesse recurso para definir o escopo desse recurso. Consulte Definir escopo em recursos de extensão no Bicep.
Os escopos de implantação válidos para o recurso roleAssignments são:
- Grupos de recursos – Consulte comandos de implantação do grupo de recursos
- Assinaturas – Consulte comandos de implantação de assinatura
- Grupos de gerenciamento – Consulte comandos de implantação do grupo de gerenciamento
- Locatários – Consulte comandos de implantação de locatário
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Comentários
Para obter diretrizes sobre como criar atribuições e definições de função, consulte Criar recursos rbac do Azure usando o Bicep.
Formato de recurso
Para criar um recurso Microsoft.Authorization/roleAssignments, adicione o seguinte Bicep ao modelo.
resource symbolicname 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
name: 'string'
scope: resourceSymbolicName or tenant()
properties: {
condition: 'string'
conditionVersion: 'string'
delegatedManagedIdentityResourceId: 'string'
description: 'string'
principalId: 'string'
principalType: 'string'
roleDefinitionId: 'string'
}
}
Valores de propriedade
roleAssignments
| Nome | Descrição | Valor |
|---|---|---|
| name | O nome do recurso | cadeia de caracteres (obrigatório) Limite de caracteres: 36 Caracteres válidos: Deve ser um GUID (identificador global exclusivo). O nome do recurso deve ser exclusivo entre o locatário. |
| scope | Use ao criar um recurso de extensão em um escopo diferente do escopo de implantação. | Recurso de destino Para o Bicep, defina essa propriedade como o nome simbólico do recurso para aplicar o recurso de extensão. Esse tipo de recurso também pode ser aplicado a um locatário. Para o Bicep, use tenant(). |
| properties | Propriedades de atribuição de função. | RoleAssignmentProperties (obrigatório) |
RoleAssignmentProperties
| Nome | Descrição | Valor |
|---|---|---|
| condition | As condições na atribuição de função. Isso limita os recursos aos quais ele pode ser atribuído. por exemplo: @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | string |
| conditionVersion | Versão da condição. Atualmente, o único valor aceito é '2.0' | string |
| delegatedManagedIdentityResourceId | ID do recurso de identidade gerenciada delegado | string |
| descrição | Descrição da atribuição de função | string |
| principalId | A ID da entidade de segurança. | cadeia de caracteres (obrigatório) |
| principalType | O tipo principal da ID da entidade de segurança atribuída. | 'Device' 'ForeignGroup' 'Group' 'ServicePrincipal' 'User' |
| roleDefinitionId | A ID de definição de função. | cadeia de caracteres (obrigatório) |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
| Modelo | Descrição |
|---|---|
Implantar o Dimensionamento Automático do Darktrace vSensors |
Este modelo permite implantar automaticamente uma implantação de dimensionamento automático de vSensors do Darktrace |
| BrowserBox Azure Edition |
Este modelo implanta o BrowserBox em uma VM do Azure Ubuntu Server 22.04 LTS, Debian 11 ou RHEL 8.7 LVM. |
| Hazelcast Cluster |
O Hazelcast é uma plataforma de dados na memória que pode ser usada para uma variedade de aplicativos de dados. Este modelo implantará qualquer número de nós hazelcast e eles descobrirão automaticamente uns aos outros. |
| IBM Cloud Pak for Data no Azure |
Esse modelo implanta um cluster do Openshift no Azure com todos os recursos, infraestrutura e implanta o IBM Cloud Pak for Data junto com os complementos escolhidos pelo usuário. |
| min.io Gateway do Azure |
Implantação do Gateway do Azure totalmente privada min.io para fornecer uma API de armazenamento compatível com S3 apoiada pelo armazenamento de blobs |
| Implantar uma conta de armazenamento para o Repositório SAP ILM |
A conta Armazenamento do Microsoft Azure agora pode ser usada como um Repositório ILM para persistir os arquivos e anexos de arquivos de um sistema SAP ILM. Um ILM Store é um componente que atende aos requisitos de sistemas de armazenamento compatíveis com SAP ILM. É possível armazenar arquivos de arquivos em uma mídia de armazenamento usando padrões de interface WebDAV ao usar regras de Gerenciamento de Retenção do SAP ILM. Para obter mais informações sobre o Repositório SAP ILM, consulte o Portal de Ajuda do SAP . |
| Criar um site do WordPress |
Este modelo cria um site do WordPress na Instância de Contêiner |
| Cluster do AKS com um Gateway da NAT e um Gateway de Aplicativo |
Este exemplo mostra como implantar um cluster do AKS com o Gateway da NAT para conexões de saída e um Gateway de Aplicativo para conexões de entrada. |
| Azure Cloud Shell - VNet |
Este modelo implanta recursos do Azure Cloud Shell em uma rede virtual do Azure. |
| Construtor de Imagens do Azure com a Linha de Base do Windows do Azure |
Cria um ambiente do Construtor de Imagens do Azure e cria uma imagem do Windows Server com o Windows Atualizações mais recente e a Linha de Base do Windows do Azure aplicadas. |
| Criar um cluster do AKS privado com uma zona DNS pública |
Este exemplo mostra como implantar um cluster do AKS privado com uma Zona DNS Pública. |
| Implantar a Análise Esportiva na Arquitetura do Azure |
Cria uma conta de armazenamento do Azure com o ADLS Gen 2 habilitado, uma instância de Azure Data Factory com serviços vinculados para a conta de armazenamento (um banco de dados SQL do Azure se implantado) e uma instância do Azure Databricks. A identidade do AAD para o usuário que implanta o modelo e a identidade gerenciada para a instância do ADF receberá a função colaborador de dados de blob de armazenamento na conta de armazenamento. Também há opções para implantar uma instância de Key Vault do Azure, um banco de dados SQL do Azure e um Hub de Eventos do Azure (para casos de uso de streaming). Quando um Key Vault do Azure é implantado, a identidade gerenciada do data factory e a identidade do AAD para o usuário que está implantando o modelo receberão a função de Usuário Key Vault Segredos. |
| Importar blobs VHD de uma URL de arquivo ZIP |
A implantação de Máquinas Virtuais com base em imagens de disco especializadas requer a importação de arquivos VHD para uma conta de armazenamento. Caso haja vários arquivos VHD compactados em um único ZIP e você tiver a URL para buscar o arquivo ZIP, esse modelo do ARM facilitará o trabalho: Baixar, extrair e importar para um contêiner de blob de conta de armazenamento existente. |
| Criar uma identidade gerenciada atribuída pelo usuário e uma atribuição de função |
Este módulo permite que você crie uma identidade gerenciada atribuída pelo usuário e uma atribuição de função com escopo para o grupo de recursos. |
| Criar um serviço Gerenciamento de API com SSL do KeyVault |
Este modelo implanta um serviço Gerenciamento de API configurado com a Identidade Atribuída pelo Usuário. Ele usa essa identidade para buscar o certificado SSL do KeyVault e o mantém atualizado verificando a cada 4 horas. |
| Cria um aplicativo de contêiner e um ambiente com o Registro |
Crie um Ambiente de Aplicativo de Contêiner com um Aplicativo de Contêiner básico de um Registro de Contêiner do Azure. Ele também implanta um workspace do Log Analytics para armazenar logs. |
| Cria um aplicativo pub-sub servicebus do Dapr usando Aplicativos de Contêiner |
Crie um aplicativo pub-sub servicebus do Dapr usando aplicativos de contêiner. |
| Implantar um aplicativo simples de microsserviço do Azure Spring Apps |
Este modelo implanta um aplicativo simples de microsserviço do Azure Spring Apps para ser executado no Azure. |
| RBAC – Conceder acesso à função interna para várias VMs existentes em um grupo de recursos |
Este modelo concede acesso baseado em função aplicável a várias VMs existentes em um Grupo de Recursos |
| Atribuir uma função RBAC a um grupo de recursos |
Este modelo atribui acesso de Proprietário, Leitor ou Colaborador a um grupo de recursos existente. |
| RBAC – VM existente |
Este modelo concede acesso baseado em função aplicável a uma VM existente em um Grupo de Recursos |
| RBAC – Criar acesso de identidade gerenciada em Azure Mapas conta |
Esse modelo cria uma Identidade Gerenciada e atribui a ela acesso a uma conta de Azure Mapas criada. |
| Criar regra de alerta para itens de continuidade de negócios do Azure |
Esses modelos criam uma regra de alerta e uma MSI atribuída pelo usuário. Ele também atribui o acesso de leitor msi à assinatura para que a regra de alerta tenha acesso para consultar os itens protegidos necessários e os detalhes mais recentes do ponto de recuperação. |
| Front Door Standard/Premium com origem estática do site |
Este modelo cria um site estático do Front Door Standard/Premium e um site estático do Armazenamento do Azure e configurado o Front Door para enviar tráfego para o site estático. |
| Implantar uma VM Linux ou Windows com MSI |
Esse modelo permite implantar uma VM Linux ou Windows com uma Identidade de Serviço Gerenciada. |
| Terraform no Azure |
Esse modelo permite implantar uma estação de trabalho do Terraform como uma VM do Linux com MSI. |
| Criar um servidor SFTP sob demanda com armazenamento persistente |
Este modelo demonstra um servidor SFTP sob demanda usando uma ACI (Instância de Contêiner do Azure). |
| Criar uma nova organização do Datadog |
Este modelo cria um novo datadog – um recurso do Serviço ISV nativo do Azure e uma organização Datadog para monitorar recursos em sua assinatura. |
| Criar & de disco habilitar a proteção por meio do Cofre de Backup |
Modelo que cria um disco e habilita a proteção por meio do Cofre de Backup |
| Criar conta de armazenamento & habilitar a proteção por meio do Cofre de Backup |
Modelo que cria a conta de armazenamento e habilita a proteção por meio do Cofre de Backup |
| Criar um compartilhamento de dados de uma conta de armazenamento |
Este modelo cria um compartilhamento de dados de uma conta de armazenamento |
| Implantar o Serviço de Computador de Desenvolvimento com imagem interna |
Esse modelo fornece uma maneira de implantar um serviço Dev Box com imagem interna. |
| Configurar o serviço Dev Box |
Esse modelo criaria todos os recursos de administrador do Dev Box de acordo com o guia de início rápido do Dev Box. Você pode exibir todos os recursos criados ou ir diretamente para DevPortal.microsoft.com para criar seu primeiro Computador de Desenvolvimento. |
| Gêmeos Digitais do Azure com função e serviço de Link Privado |
Este modelo cria um serviço dos Gêmeos Digitais do Azure configurado com uma função do Azure conectada Rede Virtual que pode se comunicar por meio de um ponto de extremidade Link Privado para gêmeos digitais. Ele também cria uma zona de DNS privado para permitir a resolução perfeita de nome de host do ponto de extremidade dos Gêmeos Digitais do Rede Virtual para o endereço IP da sub-rede interna do ponto de extremidade privado. O nome do host é armazenado como uma configuração para a Função do Azure com o nome 'ADT_ENDPOINT'. |
| Gêmeos Digitais do Azure com Conexão de Histórico de Dados Temporais |
Esse modelo cria uma instância dos Gêmeos Digitais do Azure configurada com uma conexão de histórico de dados de série temporal. Para criar uma conexão, outros recursos devem ser criados, como um namespace dos Hubs de Eventos, um hub de eventos, um cluster Data Explorer do Azure e um banco de dados. Os dados são enviados para um hub de eventos que eventualmente encaminha os dados para o cluster do Azure Data Explorer. Os dados são armazenados em uma tabela de banco de dados no cluster |
| Implantar o serviço MedTech |
O serviço MedTech é um dos Serviços de Dados de Integridade do Azure projetados para ingerir dados de dispositivo de vários dispositivos, transformar os dados do dispositivo em observações FHIR, que são então persistentes no serviço FHIR dos Serviços de Dados de Integridade do Azure. |
| Implantar o serviço MedTech, incluindo um Hub IoT do Azure |
O serviço MedTech é um dos Serviços de Dados de Integridade do Azure projetados para ingerir dados de dispositivo de vários dispositivos, transformar os dados do dispositivo em observações FHIR, que são então persistentes no serviço FHIR dos Serviços de Dados de Integridade do Azure. |
| Criar um Key Vault do Azure com RBAC e um segredo |
Este modelo cria um Key Vault do Azure e um segredo. Em vez de depender de políticas de acesso, ele aproveita o RBAC do Azure para gerenciar a autorização em segredos |
| Criar cofre de chaves, identidade gerenciada e atribuição de função |
Esse modelo cria um cofre de chaves, uma identidade gerenciada e uma atribuição de função. |
| AKS (Serviço de Contêiner do Azure) com Helm |
Implantar um cluster gerenciado com o AKS (Serviço de Contêiner do Azure) com o Helm |
| Implantar o Azure Data Explorer DB com a conexão do Cosmos DB |
Implante o Azure Data Explorer DB com a conexão do Cosmos DB. |
| Implantar o banco de Data Explorer do Azure com a conexão do Hub de Eventos |
Implante o banco de Data Explorer do Azure com a conexão do Hub de Eventos. |
| Modelo de atribuição de função de identidade atribuída pelo usuário |
Um modelo que cria atribuições de função de identidade atribuída pelo usuário em recursos dos quais o workspace do Azure Machine Learning depende |
| Criar Azure Mapas token SAS armazenado em um Key Vault do Azure |
Este modelo implanta e Azure Mapas conta e lista um token Sas com base na identidade atribuída pelo usuário fornecida a ser armazenada em um segredo de Key Vault do Azure. |
| Cluster do AKS com o controlador de entrada Gateway de Aplicativo |
Este exemplo mostra como implantar um cluster do AKS com Gateway de Aplicativo, controlador de entrada Gateway de Aplicativo, Registro de Contêiner do Azure, Log Analytics e Key Vault |
| Usar Firewall do Azure como um proxy DNS em uma topologia Hub & Spoke |
Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais spoke conectadas à rede virtual do hub por meio do emparelhamento de rede virtual. |
| Compilar imagens de contêiner com as Tarefas do ACR |
Este modelo usa DeploymentScript para orquestrar o ACR para criar sua imagem de contêiner do repositório de código. |
| Importar imagens de contêiner para o ACR |
Esse modelo aproveita o módulo Importar ACR do registro bicep para importar imagens de contêiner público para um Registro de Contêiner do Azure. |
| Criar Gateway de Aplicativo com certificados |
Este modelo mostra como gerar Key Vault certificados autoassinados e, em seguida, fazer referência de Gateway de Aplicativo. |
| Criar chaves ssh e armazenar no KeyVault |
Esse modelo usa o recurso deploymentScript para gerar chaves ssh e armazena a chave privada no keyVault. |
| SQL do Azure Server com Auditoria gravada em um armazenamento de blobs |
Este modelo permite implantar um servidor SQL do Azure com Auditoria habilitada para gravar logs de auditoria em um armazenamento de blobs |
| Implanta um site estático |
Implanta um site estático com uma conta de armazenamento de backup |
| prova de conceito Azure Synapse |
Este modelo cria um ambiente de prova de conceito para Azure Synapse, incluindo pools de SQL e pools opcionais do Apache Spark |
| Aplicativo de Funções do Azure com Hub de Eventos e Identidade Gerenciada |
seu modelo provisiona um aplicativo de funções do Azure em um plano de consumo do Linux, juntamente com um Hub de Eventos, o Armazenamento do Azure e o Application Insights. O aplicativo de funções é capaz de usar a identidade gerenciada para se conectar à conta do Hub de Eventos e armazenamento |
| Aplicativo Web com Identidade Gerenciada, SQL Server e ΑΙ |
Exemplo simples para implantar a infraestrutura do Azure para aplicativo + dados + identidade gerenciada + monitoramento |
| Criar um recurso do Azure Native New Relic |
Este modelo configura um 'Serviço de Nova Relíquia Nativa do Azure' para monitorar recursos em sua assinatura do Azure. |
| Criar um resourceGroup, aplicar um bloqueio e RBAC |
Esse modelo é um modelo de nível de assinatura que criará um resourceGroup, aplicará um bloqueio ao resourceGroup e atribuirá contribuidor permsões à principalId fornecida. Atualmente, esse modelo não pode ser implantado por meio do Portal do Azure. |
| Criar um Gerenciador de Rede Virtual do Azure e VNETs de exemplo |
Este modelo implanta um Gerenciador de Rede Virtual do Azure e redes virtuais de exemplo no grupo de recursos nomeado. Ele dá suporte a várias topologias de conectividade e tipos de associação de grupo de rede. |
| Atribuir uma função em um escopo de assinatura |
Este modelo é um modelo de nível de assinatura que atribuirá uma função no escopo da assinatura. |
| Atribuir uma função no escopo do locatário |
Esse modelo é um modelo de nível de locatário que atribuirá uma função à entidade de segurança fornecida no escopo do locatário. O usuário que está implantando o modelo já deve ter a função Proprietário atribuída no escopo do locatário. |
Definição de recurso de modelo do ARM
O tipo de recurso roleAssignments é um recurso de extensão, o que significa que você pode aplicá-lo a outro recurso.
Use a scope propriedade nesse recurso para definir o escopo desse recurso. Consulte Definir escopo em recursos de extensão em modelos do ARM.
Os escopos de implantação válidos para o recurso roleAssignments são:
- Grupos de recursos – Consulte comandos de implantação do grupo de recursos
- Assinaturas – Consulte comandos de implantação de assinatura
- Grupos de gerenciamento – Consulte comandos de implantação do grupo de gerenciamento
- Locatários – Consulte comandos de implantação de locatário
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Comentários
Para obter diretrizes sobre como criar atribuições e definições de função, consulte Criar recursos rbac do Azure usando o Bicep.
Formato de recurso
Para criar um recurso Microsoft.Authorization/roleAssignments, adicione o JSON a seguir ao modelo.
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2022-04-01",
"name": "string",
"scope": "string" or "/",
"properties": {
"condition": "string",
"conditionVersion": "string",
"delegatedManagedIdentityResourceId": "string",
"description": "string",
"principalId": "string",
"principalType": "string",
"roleDefinitionId": "string"
}
}
Valores de propriedade
roleAssignments
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | 'Microsoft.Authorization/roleAssignments' |
| apiVersion | A versão da API de recursos | '2022-04-01' |
| name | O nome do recurso | cadeia de caracteres (obrigatório) Limite de caracteres: 36 Caracteres válidos: Deve ser um GUID (identificador global exclusivo). O nome do recurso deve ser exclusivo entre o locatário. |
| scope | Use ao criar um recurso de extensão em um escopo diferente do escopo de implantação. | Recurso de destino Para JSON, defina o valor como o nome completo do recurso ao qual aplicar o recurso de extensão . Esse tipo de recurso também pode ser aplicado a um locatário. Para JSON, use "/". |
| properties | Propriedades de atribuição de função. | RoleAssignmentProperties (obrigatório) |
RoleAssignmentProperties
| Nome | Descrição | Valor |
|---|---|---|
| condition | As condições na atribuição de função. Isso limita os recursos aos quais ele pode ser atribuído. por exemplo: @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | string |
| conditionVersion | Versão da condição. Atualmente, o único valor aceito é '2.0' | string |
| delegatedManagedIdentityResourceId | ID do recurso de identidade gerenciada delegado | string |
| descrição | Descrição da atribuição de função | string |
| principalId | A ID da entidade de segurança. | cadeia de caracteres (obrigatório) |
| principalType | O tipo principal da ID da entidade de segurança atribuída. | 'Device' 'ForeignGroup' 'Group' 'ServicePrincipal' 'User' |
| roleDefinitionId | A ID de definição de função. | cadeia de caracteres (obrigatório) |
Modelos de início rápido
Os modelos de início rápido a seguir implantam esse tipo de recurso.
| Modelo | Descrição |
|---|---|
| Implantar o Dimensionamento Automático do Darktrace vSensors |
Este modelo permite implantar automaticamente uma implantação de dimensionamento automático de vSensors do Darktrace |
| BrowserBox Azure Edition |
Este modelo implanta o BrowserBox em uma VM do Azure Ubuntu Server 22.04 LTS, Debian 11 ou RHEL 8.7 LVM. |
| Hazelcast Cluster |
O Hazelcast é uma plataforma de dados na memória que pode ser usada para uma variedade de aplicativos de dados. Este modelo implantará qualquer número de nós hazelcast e eles descobrirão automaticamente uns aos outros. |
| IBM Cloud Pak for Data no Azure |
Esse modelo implanta um cluster do Openshift no Azure com todos os recursos, infraestrutura e implanta o IBM Cloud Pak for Data junto com os complementos escolhidos pelo usuário. |
| min.io Gateway do Azure |
Implantação do Gateway do Azure totalmente privada min.io para fornecer uma API de armazenamento compatível com S3 apoiada pelo armazenamento de blobs |
| Implantar uma conta de armazenamento para o Repositório SAP ILM |
A conta Armazenamento do Microsoft Azure agora pode ser usada como um Repositório ILM para persistir os arquivos e anexos de arquivos de um sistema SAP ILM. Um ILM Store é um componente que atende aos requisitos de sistemas de armazenamento compatíveis com SAP ILM. É possível armazenar arquivos de arquivos em uma mídia de armazenamento usando padrões de interface WebDAV ao usar regras de Gerenciamento de Retenção do SAP ILM. Para obter mais informações sobre o Repositório SAP ILM, consulte o Portal de Ajuda do SAP . |
| Criar um site do WordPress |
Este modelo cria um site do WordPress na Instância de Contêiner |
| Cluster do AKS com um Gateway da NAT e um Gateway de Aplicativo |
Este exemplo mostra como implantar um cluster do AKS com o Gateway da NAT para conexões de saída e um Gateway de Aplicativo para conexões de entrada. |
| Cloud Shell do Azure – VNet |
Este modelo implanta recursos de Cloud Shell do Azure em uma rede virtual do Azure. |
| Construtor de Imagens do Azure com a Linha de Base do Windows do Azure |
Cria um ambiente do Construtor de Imagens do Azure e cria uma imagem do Windows Server com o Windows Atualizações mais recente e a Linha de Base do Windows do Azure aplicadas. |
| Criar um cluster do AKS privado com uma zona DNS pública |
Este exemplo mostra como implantar um cluster aks privado com uma zona DNS pública. |
| Implantar a Análise Esportiva na Arquitetura do Azure |
Cria uma conta de armazenamento do Azure com o ADLS Gen 2 habilitado, uma instância Azure Data Factory com serviços vinculados para a conta de armazenamento (um banco de dados SQL do Azure se implantado) e uma instância do Azure Databricks. A identidade do AAD para o usuário que implanta o modelo e a identidade gerenciada para a instância do ADF receberá a função Colaborador de Dados de Blob de Armazenamento na conta de armazenamento. Também há opções para implantar uma instância de Key Vault do Azure, um banco de dados SQL do Azure e um Hub de Eventos do Azure (para casos de uso de streaming). Quando um Key Vault do Azure for implantado, a identidade gerenciada do data factory e a identidade do AAD para o usuário que está implantando o modelo receberão a função Key Vault Usuário De Segredos. |
| Importar blobs VHD de uma URL de arquivo ZIP |
A implantação de Máquinas Virtuais com base em imagens de disco especializadas requer a importação de arquivos VHD para uma conta de armazenamento. Caso haja vários arquivos VHD compactados em um único ZIP e você tiver a URL para buscar o arquivo ZIP, esse modelo do ARM facilitará o trabalho: Baixar, extrair e importar para um contêiner de blob de conta de armazenamento existente. |
| Criar uma identidade gerenciada atribuída pelo usuário e uma atribuição de função |
Este módulo permite que você crie uma identidade gerenciada atribuída pelo usuário e uma atribuição de função com escopo para o grupo de recursos. |
| Criar um serviço Gerenciamento de API com SSL do KeyVault |
Este modelo implanta um serviço Gerenciamento de API configurado com a Identidade Atribuída pelo Usuário. Ele usa essa identidade para buscar o certificado SSL do KeyVault e o mantém atualizado verificando a cada 4 horas. |
| Cria um aplicativo de contêiner e um ambiente com o Registro |
Crie um Ambiente de Aplicativo de Contêiner com um Aplicativo de Contêiner básico de um Registro de Contêiner do Azure. Ele também implanta um workspace do Log Analytics para armazenar logs. |
| Cria um aplicativo pub-sub servicebus do Dapr usando Aplicativos de Contêiner |
Crie um aplicativo pub-sub servicebus do Dapr usando aplicativos de contêiner. |
| Implantar um aplicativo simples de microsserviço do Azure Spring Apps |
Este modelo implanta um aplicativo simples de microsserviço do Azure Spring Apps para ser executado no Azure. |
| RBAC – Conceder acesso à função interna para várias VMs existentes em um grupo de recursos |
Este modelo concede acesso baseado em função aplicável a várias VMs existentes em um Grupo de Recursos |
| Atribuir uma função RBAC a um grupo de recursos |
Este modelo atribui acesso de Proprietário, Leitor ou Colaborador a um grupo de recursos existente. |
| RBAC – VM existente |
Este modelo concede acesso baseado em função aplicável a uma VM existente em um Grupo de Recursos |
| RBAC – Criar acesso de identidade gerenciada em Azure Mapas conta |
Esse modelo cria uma Identidade Gerenciada e atribui a ela acesso a uma conta de Azure Mapas criada. |
| Criar regra de alerta para itens de continuidade de negócios do Azure |
Esses modelos criam uma regra de alerta e uma MSI atribuída pelo usuário. Ele também atribui o acesso de leitor msi à assinatura para que a regra de alerta tenha acesso para consultar os itens protegidos necessários e os detalhes mais recentes do ponto de recuperação. |
| Front Door Standard/Premium com origem estática do site |
Este modelo cria um site estático do Front Door Standard/Premium e um site estático do Armazenamento do Azure e configurado o Front Door para enviar tráfego para o site estático. |
| Implantar uma VM Linux ou Windows com MSI |
Esse modelo permite implantar uma VM Linux ou Windows com uma Identidade de Serviço Gerenciada. |
| Terraform no Azure |
Esse modelo permite implantar uma estação de trabalho do Terraform como uma VM do Linux com MSI. |
| Criar um servidor SFTP sob demanda com armazenamento persistente |
Este modelo demonstra um servidor SFTP sob demanda usando uma ACI (Instância de Contêiner do Azure). |
| Criar uma nova organização do Datadog |
Este modelo cria um novo datadog – um recurso do Serviço ISV nativo do Azure e uma organização Datadog para monitorar recursos em sua assinatura. |
| Criar & de disco habilitar a proteção por meio do Cofre de Backup |
Modelo que cria um disco e habilita a proteção por meio do Cofre de Backup |
| Criar conta de armazenamento & habilitar a proteção por meio do Cofre de Backup |
Modelo que cria a conta de armazenamento e habilita a proteção por meio do Cofre de Backup |
| Criar um compartilhamento de dados de uma conta de armazenamento |
Este modelo cria um compartilhamento de dados de uma conta de armazenamento |
| Implantar o Serviço de Computador de Desenvolvimento com imagem interna |
Esse modelo fornece uma maneira de implantar um serviço Dev Box com imagem interna. |
| Configurar o serviço Dev Box |
Esse modelo criaria todos os recursos de administrador do Dev Box de acordo com o guia de início rápido do Dev Box. Você pode exibir todos os recursos criados ou ir diretamente para DevPortal.microsoft.com para criar seu primeiro Computador de Desenvolvimento. |
| Gêmeos Digitais do Azure com função e serviço de Link Privado |
Este modelo cria um serviço dos Gêmeos Digitais do Azure configurado com uma função do Azure conectada Rede Virtual que pode se comunicar por meio de um ponto de extremidade Link Privado para gêmeos digitais. Ele também cria uma zona de DNS privado para permitir a resolução perfeita de nome de host do ponto de extremidade dos Gêmeos Digitais do Rede Virtual para o endereço IP da sub-rede interna do ponto de extremidade privado. O nome do host é armazenado como uma configuração para a Função do Azure com o nome 'ADT_ENDPOINT'. |
| Gêmeos Digitais do Azure com Conexão de Histórico de Dados Temporais |
Esse modelo cria uma instância dos Gêmeos Digitais do Azure configurada com uma conexão de histórico de dados de série temporal. Para criar uma conexão, outros recursos devem ser criados, como um namespace dos Hubs de Eventos, um hub de eventos, um cluster Data Explorer do Azure e um banco de dados. Os dados são enviados para um hub de eventos que eventualmente encaminha os dados para o cluster do Azure Data Explorer. Os dados são armazenados em uma tabela de banco de dados no cluster |
| Implantar o serviço MedTech |
O serviço MedTech é um dos Serviços de Dados de Integridade do Azure projetados para ingerir dados de dispositivo de vários dispositivos, transformar os dados do dispositivo em observações FHIR, que são então persistentes no serviço FHIR dos Serviços de Dados de Integridade do Azure. |
| Implantar o serviço MedTech, incluindo um Hub IoT do Azure |
O serviço MedTech é um dos Serviços de Dados de Integridade do Azure projetados para ingerir dados de dispositivo de vários dispositivos, transformar os dados do dispositivo em observações FHIR, que são então persistentes no serviço FHIR dos Serviços de Dados de Integridade do Azure. |
| Criar um Key Vault do Azure com RBAC e um segredo |
Esse modelo cria um Key Vault do Azure e um segredo. Em vez de depender de políticas de acesso, ele aproveita o RBAC do Azure para gerenciar a autorização de segredos |
| Criar cofre de chaves, identidade gerenciada e atribuição de função |
Esse modelo cria um cofre de chaves, uma identidade gerenciada e uma atribuição de função. |
| AKS (Serviço de Contêiner do Azure) com Helm |
Implantar um cluster gerenciado com o AKS (Serviço de Contêiner do Azure) com o Helm |
| Implantar o Azure Data Explorer DB com a conexão do Cosmos DB |
Implante o Azure Data Explorer DB com a conexão do Cosmos DB. |
| Implantar o banco de dados do Azure Data Explorer com a conexão do Hub de Eventos |
Implante o banco de Data Explorer do Azure com a conexão do Hub de Eventos. |
| Modelo de atribuição de função de identidade atribuída pelo usuário |
Um modelo que cria atribuições de função de identidade atribuída pelo usuário em recursos dos quais o workspace do Azure Machine Learning depende |
| Criar Azure Mapas token SAS armazenado em um Key Vault do Azure |
Este modelo implanta e Azure Mapas conta e lista um token Sas com base na identidade atribuída pelo usuário fornecida a ser armazenada em um segredo de Key Vault do Azure. |
| Cluster do AKS com o controlador de entrada do Gateway de Aplicativo |
Este exemplo mostra como implantar um cluster do AKS com Gateway de Aplicativo, controlador de entrada Gateway de Aplicativo, Registro de Contêiner do Azure, Log Analytics e Key Vault |
| Usar Firewall do Azure como proxy DNS em uma topologia Hub & Spoke |
Este exemplo mostra como implantar uma topologia hub-spoke no Azure usando o Firewall do Azure. A rede virtual do hub atua como um ponto central de conectividade para muitas redes virtuais spoke conectadas à rede virtual do hub por meio do emparelhamento de rede virtual. |
| Compilar imagens de contêiner com as Tarefas do ACR |
Este modelo usa DeploymentScript para orquestrar o ACR para criar sua imagem de contêiner do repositório de código. |
| Importar imagens de contêiner para o ACR |
Esse modelo aproveita o módulo Importar ACR do registro bicep para importar imagens de contêiner público para um Registro de Contêiner do Azure. |
| Criar Gateway de Aplicativo com certificados |
Este modelo mostra como gerar Key Vault certificados autoassinados e, em seguida, fazer referência de Gateway de Aplicativo. |
| Criar chaves ssh e armazenar no KeyVault |
Esse modelo usa o recurso deploymentScript para gerar chaves ssh e armazena a chave privada no keyVault. |
| SQL do Azure Server com Auditoria gravada em um armazenamento de blobs |
Esse modelo permite que você implante um servidor SQL do Azure com Auditoria habilitada para gravar logs de auditoria em um armazenamento de blobs |
| Implanta um site estático |
Implanta um site estático com uma conta de armazenamento de backup |
| Prova de Conceito do Azure Synapse |
Este modelo cria um ambiente de prova de conceito para Azure Synapse, incluindo pools de SQL e pools opcionais do Apache Spark |
| Aplicativo de Funções do Azure com Hub de Eventos e Identidade Gerenciada |
seu modelo provisiona um aplicativo de funções do Azure em um plano de Consumo do Linux, juntamente com um Hub de Eventos, o Armazenamento do Azure e o Application Insights. O aplicativo de funções é capaz de usar a identidade gerenciada para se conectar ao Hub de Eventos e à conta de Armazenamento |
| Aplicativo Web com Identidade Gerenciada, SQL Server e Ι |
Exemplo simples para implantar a infraestrutura do Azure para aplicativo + dados + identidade gerenciada + monitoramento |
| Criar um recurso do Azure Native New Relic |
Esse modelo configura um 'Serviço do Azure Native New Relic' para monitorar recursos em sua assinatura do Azure. |
| Criar um resourceGroup, aplicar um bloqueio e RBAC |
Este modelo é um modelo de nível de assinatura que criará um resourceGroup, aplicará um bloqueio ao resourceGroup e atribuirá contribuidor permsões à principalId fornecida. Atualmente, esse modelo não pode ser implantado por meio do Portal do Azure. |
| Criar um Gerenciador de Rede Virtual do Azure e VNETs de exemplo |
Este modelo implanta um Gerenciador de Rede Virtual do Azure e redes virtuais de exemplo no grupo de recursos nomeado. Ele dá suporte a várias topologias de conectividade e tipos de associação de grupo de rede. |
| Atribuir uma função em um escopo de assinatura |
Este modelo é um modelo de nível de assinatura que atribuirá uma função no escopo da assinatura. |
| Atribuir uma função no escopo do locatário |
Esse modelo é um modelo de nível de locatário que atribuirá uma função à entidade de segurança fornecida no escopo do locatário. O usuário que está implantando o modelo já deve ter a função Proprietário atribuída no escopo do locatário. |
Definição de recurso do Terraform (provedor de AzAPI)
O tipo de recurso roleAssignments é um recurso de extensão, o que significa que você pode aplicá-lo a outro recurso.
Use a parent_id propriedade nesse recurso para definir o escopo desse recurso.
Os escopos de implantação válidos para o recurso roleAssignments são:
- Grupos de recursos
- Assinaturas
- Grupos de gerenciamento
- Locatários
Para obter uma lista das propriedades alteradas em cada versão da API, consulte log de alterações.
Formato de recurso
Para criar um recurso Microsoft.Authorization/roleAssignments, adicione o Terraform a seguir ao modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Authorization/roleAssignments@2022-04-01"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
condition = "string"
conditionVersion = "string"
delegatedManagedIdentityResourceId = "string"
description = "string"
principalId = "string"
principalType = "string"
roleDefinitionId = "string"
}
})
}
Valores de propriedade
roleAssignments
| Nome | Descrição | Valor |
|---|---|---|
| tipo | O tipo de recurso | "Microsoft.Authorization/roleAssignments@2022-04-01" |
| name | O nome do recurso | cadeia de caracteres (obrigatório) Limite de caracteres: 36 Caracteres válidos: Deve ser um GUID (identificador global exclusivo). O nome do recurso deve ser exclusivo entre locatários. |
| parent_id | A ID do recurso ao qual aplicar esse recurso de extensão. | cadeia de caracteres (obrigatório) |
| properties | Propriedades de atribuição de função. | RoleAssignmentProperties (obrigatório) |
RoleAssignmentProperties
| Nome | Descrição | Valor |
|---|---|---|
| condition | As condições na atribuição de função. Isso limita os recursos aos quais ele pode ser atribuído. por exemplo: @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | string |
| conditionVersion | Versão da condição. Atualmente, o único valor aceito é '2.0' | string |
| delegatedManagedIdentityResourceId | ID do recurso de identidade gerenciada delegado | string |
| descrição | Descrição da atribuição de função | string |
| principalId | A ID da entidade de segurança. | cadeia de caracteres (obrigatório) |
| principalType | O tipo principal da ID da entidade de segurança atribuída. | "Dispositivo" "ForeignGroup" "Agrupar" "ServicePrincipal" "User" |
| roleDefinitionId | A ID de definição de função. | cadeia de caracteres (obrigatório) |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de