Conceder permissões de usuário para políticas de laboratório específicas
Descrição geral
Este artigo ilustra como usar o PowerShell para conceder permissões aos usuários para uma política de laboratório específica. Dessa forma, as permissões podem ser aplicadas com base nas necessidades de cada usuário. Por exemplo, talvez você queira conceder a um usuário específico a capacidade de alterar as configurações de diretiva de VM, mas não as políticas de custo.
Políticas como recursos
Conforme discutido no artigo Controle de acesso baseado em função do Azure (Azure RBAC), o RBAC do Azure habilita o gerenciamento de acesso refinado de recursos para o Azure. Usando o RBAC do Azure, você pode segregar tarefas dentro de sua equipe de DevOps e conceder apenas a quantidade de acesso aos usuários de que eles precisam para executar seus trabalhos.
No DevTest Labs, uma política é um tipo de recurso que habilita a ação RBAC do Azure Microsoft.DevTestLab/labs/policySets/policies/. Cada política de laboratório é um recurso no tipo de recurso Política e pode ser atribuída como um escopo a uma função do Azure.
Por exemplo, para conceder aos usuários permissão de leitura/gravação para a política de Tamanhos de VM Permitidos , você criaria uma função personalizada que funcionasse com a ação Microsoft.DevTestLab/labs/policySets/policies/ e, em seguida, atribuiria os usuários apropriados a essa função personalizada no escopo de Microsoft.DevTestLab/labs/policySets/policies/AllowedVmSizesInLab.
Para saber mais sobre funções personalizadas no RBAC do Azure, consulte as funções personalizadas do Azure.
Criando uma função personalizada de laboratório usando o PowerShell
Para começar, você precisará instalar o Azure PowerShell.
Depois de configurar os cmdlets do Azure PowerShell, você pode executar as seguintes tarefas:
- Listar todas as operações/ações de um provedor de recursos
- Listar ações em uma função específica:
- Criar uma função personalizada
O seguinte script do PowerShell ilustra exemplos de como executar essas tarefas:
# List all the operations/actions for a resource provider.
Get-AzProviderOperation -OperationSearchString "Microsoft.DevTestLab/*"
# List actions in a particular role.
(Get-AzRoleDefinition "DevTest Labs User").Actions
# Create custom role.
$policyRoleDef = (Get-AzRoleDefinition "DevTest Labs User")
$policyRoleDef.Id = $null
$policyRoleDef.Name = "Policy Contributor"
$policyRoleDef.IsCustom = $true
$policyRoleDef.AssignableScopes.Clear()
$policyRoleDef.AssignableScopes.Add("/subscriptions/<SubscriptionID> ")
$policyRoleDef.Actions.Add("Microsoft.DevTestLab/labs/policySets/policies/*")
$policyRoleDef = (New-AzRoleDefinition -Role $policyRoleDef)
Atribuindo permissões a um usuário para uma política específica usando funções personalizadas
Depois de definir suas funções personalizadas, você pode atribuí-las aos usuários. Para atribuir uma função personalizada a um usuário, você deve primeiro obter o ObjectId que representa esse usuário. Para fazer isso, use o cmdlet Get-AzADUser .
No exemplo a seguir, o ObjectId do usuário SomeUser é 05DEFF7B-0AC3-4ABF-B74D-6A72CD5BF3F3.
PS C:\>Get-AzADUser -SearchString "SomeUser"
DisplayName Type ObjectId
----------- ---- --------
someuser@hotmail.com 05DEFF7B-0AC3-4ABF-B74D-6A72CD5BF3F3
Depois de ter o ObjectId para o usuário e um nome de função personalizado, você pode atribuir essa função ao usuário com o cmdlet New-AzRoleAssignment :
PS C:\>New-AzRoleAssignment -ObjectId 05DEFF7B-0AC3-4ABF-B74D-6A72CD5BF3F3 -RoleDefinitionName "Policy Contributor" -Scope /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.DevTestLab/labs/<LabName>/policySets/default/policies/AllowedVmSizesInLab
No exemplo anterior, a política AllowedVmSizesInLab é usada. Você pode usar qualquer uma das seguintes políticas:
- MaxVmsAllowedPerUser
- MaxVmsAllowedPerLab
- AllowedVmSizesInLab
- LabVmsShutdown
Criar uma função para permitir que os usuários realizem uma tarefa específica
Este script de exemplo que cria a função DevTest Labs Advanced User, que tem permissão para iniciar e parar todas as VMs no laboratório:
$policyRoleDef = Get-AzRoleDefinition "DevTest Labs User"
$policyRoleDef.Actions.Remove('Microsoft.DevTestLab/Environments/*')
$policyRoleDef.Id = $null
$policyRoleDef.Name = "DevTest Labs Advanced User"
$policyRoleDef.IsCustom = $true
$policyRoleDef.AssignableScopes.Clear()
$policyRoleDef.AssignableScopes.Add("/subscriptions/<subscription Id>")
$policyRoleDef.Actions.Add("Microsoft.DevTestLab/labs/virtualMachines/Start/action")
$policyRoleDef.Actions.Add("Microsoft.DevTestLab/labs/virtualMachines/Stop/action")
$policyRoleDef = New-AzRoleDefinition -Role $policyRoleDef
Introdução ao Azure DevTest Labs
Ainda não conhece o Azure? Crie uma conta gratuita.
Já utiliza o Azure? Crie seu primeiro laboratório e comece a usar o Azure DevTest Labs em minutos.
Próximos passos
Depois de conceder permissões de usuário para políticas de laboratório específicas, aqui estão algumas próximas etapas a serem consideradas:
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários