Создание или обновление настраиваемых ролей Azure с помощью портала Azure

Если встроенные роли Azure не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли Azure. Как и встроенные роли, можно назначать пользовательские роли пользователям, группам и субъектам-службам в группе управления, подписке и группе ресурсов область. Пользовательские роли хранятся в каталоге Microsoft Entra и могут быть общими для подписок. В каждом каталоге может быть не более 5000 настраиваемых ролей. Настраиваемые роли можно создавать с помощью портала Azure, Azure PowerShell, Azure CLI или REST API. В этой статье описывается создание настраиваемых ролей с помощью портала Azure.

Необходимые компоненты

Для создания пользовательских ролей в Azure требуются:

• разрешения на создание пользовательских ролей, такие как Владелец или Администратор доступа пользователя;

Шаг 1. Определение нужных разрешений

В Azure есть тысячи разрешений, которые потенциально можно включить в настраиваемую роль. Ниже приведены некоторые методы, которые могут помочь определить разрешения, добавляемые в настраиваемую роль:

• Просмотрите существующие встроенные роли.
• Составьте список служб Azure, к которым нужно предоставить доступ.
• Определите поставщики ресурсов, сопоставляемые со службами Azure. Метод поиска описан далее в разделе Шаг 4. Разрешения.
• Выполните поиск доступных разрешений, чтобы найти разрешения, которые нужно включить. Метод поиска описан далее в разделе Шаг 4. Разрешения.

Шаг 2. Выбор способа запуска

Существует три способа приступить к созданию настраиваемой роли. Вы можете клонировать существующую роль, начать с нуля или использовать JSON-файл. Самый простой способ — найти существующую роль, имеющую большинство необходимых разрешений, а затем клонировать ее и изменить для вашего сценария.

Клонирование роли

Если у существующей роли нет необходимых разрешений, вы можете клонировать ее, а затем изменить разрешения. Чтобы приступить к клонированию роли, выполните следующие действия.

1. В портал Azure откройте группу управления, подписку или группу ресурсов, где необходимо назначить настраиваемую роль, а затем откройте управление доступом (IAM).

   На приведенном ниже снимке экрана показана открытая страница "Управление доступом (IAM)" для подписки.

   

2. Чтобы просмотреть список всех встроенных и пользовательских ролей, щелкните вкладку Роли.

3. Найдите роль, которую необходимо клонировать, например роль "Читатель счетов".

4. В конце строки нажмите кнопку с многоточием ( ... ) и выберите Клонировать.

   

   Откроется редактор настраиваемых ролей с выбранным параметром Клонировать роль.

5. Перейдите к Шагу 3. Основные сведения.

Создание клиента с нуля

При желании вы можете выполнить следующие действия, чтобы приступить к созданию настраиваемой роли с нуля.

1. В портал Azure откройте группу управления, подписку или группу ресурсов, где необходимо назначить настраиваемую роль, а затем откройте управление доступом (IAM).

2. Щелкните Добавить, а затем — Добавить настраиваемую роль.

   

   Откроется редактор настраиваемых ролей с выбранным параметром Начать с нуля.

3. Перейдите к Шагу 3. Основные сведения.

Начать с JSON

При желании вы можете указать большую часть значений настраиваемых ролей в JSON-файле. Откройте файл в редакторе настраиваемых ролей, внесите дополнительные изменения, а затем создайте настраиваемую роль. Выполните следующие действия, чтобы начать с JSON-файла.

1. Создайте JSON-файл в следующем формате.

   {
       "properties": {
           "roleName": "",
           "description": "",
           "assignableScopes": [],
           "permissions": [
               {
                   "actions": [],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

2. В файле JSON укажите значения для различных свойств. Ниже приведен пример, в котором добавлены некоторые значения. Дополнительные сведения о свойствах см. в статье Общие сведения об определениях ролей Azure.

   {
       "properties": {
           "roleName": "Billing Reader Plus",
           "description": "Read billing data and download invoices",
           "assignableScopes": [
               "/subscriptions/11111111-1111-1111-1111-111111111111"
           ],
           "permissions": [
               {
                   "actions": [
                       "Microsoft.Authorization/*/read",
                       "Microsoft.Billing/*/read",
                       "Microsoft.Commerce/*/read",
                       "Microsoft.Consumption/*/read",
                       "Microsoft.Management/managementGroups/read",
                       "Microsoft.CostManagement/*/read",
                       "Microsoft.Support/*"
                   ],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

3. На портале Azure откройте страницу Управление доступом (IAM).

4. Щелкните Добавить, а затем — Добавить настраиваемую роль.

   

   Откроется редактор настраиваемых ролей.

5. На вкладке "Основные сведения" в области Базовые разрешения выберите Начать с JSON.

6. Нажмите кнопку "Папка" рядом с полем "Выберите файл", чтобы открыть диалоговое окно "Открыть".

7. Выберите JSON-файл и щелкните Открыть.

8. Перейдите к Шагу 3. Основные сведения.

Шаг 3. Основные сведения

На вкладке Основные сведения укажите имя, описание и базовые разрешения для настраиваемой роли.

1. В поле Имя настраиваемой роли укажите имя настраиваемой роли. Имя должно быть уникальным для каталога Microsoft Entra. Оно может содержать буквы, цифры, пробелы и специальные знаки.

2. В поле Описание укажите необязательное описание настраиваемой роли. Оно станет подсказкой для настраиваемой роли.

   Для параметра Базовые разрешения уже должно быть задано значение, поскольку оно задается на основе выбора на предыдущем шаге, однако это значение можно изменить.

   

Шаг 4. Разрешения

На вкладке Разрешения укажите разрешения для настраиваемой роли. В зависимости от того, клонировали вы роль или начали работу с JSON, на вкладке разрешения могут быть уже перечислены некоторые разрешения.

Добавление или удаление разрешений

Выполните следующие действия, чтобы добавить или удалить разрешения для настраиваемой роли.

1. Чтобы добавить разрешения, нажмите кнопку Добавление разрешений, чтобы открыть панель "Добавление разрешений".

   В этой области перечислены все доступные разрешения, сгруппированные по различным категориям в формате карточек. Каждая категория представляет поставщик ресурсов, который является службой, предоставляющей ресурсы Azure.

2. В поле Поиск разрешения введите строку для поиска разрешений. Например, выполните поиск по счету, чтобы найти разрешения, связанные со счетом.

   Список карточек поставщика ресурсов будет отображаться на основе строки поиска. Список со сведениями о сопоставлении поставщиков ресурсов со службами Azure см. в статье Поставщики ресурсов для служб Azure.

   

3. Выберите карточку поставщика ресурсов,которая может иметь разрешения, которые вы хотите добавить в настраиваемую роль, например, Выставление счетов Майкрософт.

   Список разрешений на управление для этого поставщика ресурсов отображается на основе строки поиска.

   

4. Если вы ищете разрешения, которые применяются к плоскости данных, щелкните Действия с данными. В противном случае оставьте действие переключателем "Действия ", чтобы получить список разрешений, которые применяются к плоскости управления. Дополнительные сведения о различиях между плоскостем управления и плоскости данных см. в разделе "Управление" и "Действия с данными".

5. При необходимости обновите строку поиска, чтобы уточнить условия поиска.

6. Найдя одно или несколько разрешений, которые нужно добавить в настраиваемую роль, установите флажок рядом с разрешениями. Например, установите флажок рядом с пунктом Other : Download Invoice (Другое: скачивание счета), чтобы добавить разрешение на скачивание счетов.

7. Нажмите кнопку Добавить, чтобы добавить разрешение в список разрешений.

   Разрешение добавляется как Actions или DataActions.

   

8. Чтобы удалить разрешения, щелкните значок удаления в конце строки. В этом примере, поскольку пользователю не нужна возможность создавать запросы в службу поддержки,разрешение Microsoft.Support/* можно удалить.

Добавление разрешений с подстановочными знаками

В зависимости от того, как вы решили начать работу, у вас, возможно, уже есть разрешения с подстановочными знаками (*) в списке разрешений. Подстановочный знак (*) расширяет действие разрешения на все, что соответствует введенной строке действий. Например, следующая строка с подстановочными знаками добавляет все разрешения, связанные с Управлением затратами Azure и экспортами. Сюда также входят все будущие разрешения экспорта, которые могут быть добавлены.

Microsoft.CostManagement/exports/*

Если вы хотите добавить новое разрешение с подстановочными знаками, сделать это с помощью панели Добавление разрешений не выйдет. Добавление разрешений с подстановочными знаками необходимо выполнять вручную с помощью вкладки JSON. Дополнительные сведения см. в разделе Шаг 6. JSON.

Примечание.

Рекомендуется указать Actions и DataActions явно вместо использования дикого карта (*) символа. Дополнительный доступ и разрешения, предоставленные в будущем Actions или DataActions может быть нежелательным поведением с помощью дикой природы карта.

Исключение разрешений

Если у вашей роли есть разрешение с подстановочным знаком (*) и вы хотите исключить или вычесть определенные разрешения из этого разрешения с подстановочным знаком, такое действие поддерживается. Предположим, что у вас есть следующее разрешение с подстановочными знаками:

Microsoft.CostManagement/exports/*

Если вы не хотите предоставлять разрешение на удаление экспорта, можно исключить следующее разрешение на удаление:

Microsoft.CostManagement/exports/delete

При исключении разрешение добавляется как NotActions или NotDataActions. Действующие разрешения на управление вычисляются путем добавления всех значений Actions и последующего вычитания всех значений NotActions. Действующие разрешения данных вычисляются путем добавления всех значений DataActions и последующего вычитания всех значений NotDataActions.

Примечание.

Исключение разрешения работает не так, как действие запрета. Исключение разрешений — это просто удобный способ вычитания разрешений из разрешения с подстановочными знаками.

1. Чтобы исключить или вычесть разрешение из допускаемого разрешения с подстановочными знаками, нажмите кнопку Исключить разрешения. Откроется панель "Исключить разрешения".

   На этой панели можно указать разрешения на управление или данные, которые будут исключены или вычтены.

2. Найдя одно или несколько разрешений, которые необходимо исключить, установите флажок рядом с разрешениями и нажмите кнопку Добавить.

   

   Разрешение добавляется как NotActions или NotDataActions.

   

Шаг 5. Добавление назначаемых областей

На вкладке Назначаемые области укажите, где ваша настраиваемая роль будет доступна для назначения. Это могут быть, например, группа управления, подписки или группы ресурсов. В зависимости от того, как вы решили начать работу, на этой вкладке может уже отображаться область, в которой была открыта страница "Управление доступом" (IAM).

Можно определить только одну группу управления в назначаемых область. Задание назначаемой области в корневую область ("/") не поддерживается.

1. Щелкните Добавление назначаемых областей, чтобы открыть область "Добавление назначаемых областей".

   

2. Щелкните одну или несколько областей, которые вы хотите использовать, как правило, для подписки.

   

3. Нажмите кнопку Добавить, чтобы добавить назначаемую область.

Шаг 6. JSON

На вкладке JSON вы увидите настраиваемую роль в формате JSON. При необходимости JSON можно изменять напрямую.

1. Чтобы изменить JSON-файл, щелкните Изменить.

   

2. Внесите изменения в JSON-файл.

   Если JSON отформатирован неправильно, вы увидите красную прерывистую линию и индикатор в вертикальной колонке.

3. По завершении внесения изменений выберите пункт Сохранить.

Шаг 7. Просмотр и создание

На вкладке Просмотр и создание можно проверить параметры настраиваемой роли.

1. Проверьте параметры настраиваемой роли.

   

2. Нажмите кнопку Создать, чтобы создать настраиваемую роль.

   Через несколько секунд появится сообщение со сведениями о том, что настраиваемая роль успешно создана.

   

   Если же будут обнаружены какие-либо ошибки, появится соответствующее сообщение.

   

3. Просмотрите новую настраиваемую роль в списке Роли. Если настраиваемая роль не отображается, нажмите кнопку Обновить.

   Для отображения настраиваемой роли во всем окружении может потребоваться несколько минут.

Вывод списка настраиваемых ролей

Выполните следующие действия, чтобы просмотреть список своих настраиваемых ролей.

1. Откройте группу управления, подписку или группу ресурсов, а затем откройте управление доступом (IAM).

2. Чтобы просмотреть список всех встроенных и пользовательских ролей, щелкните вкладку Роли.

3. В списке Тип выберите CustomRole, чтобы открыть только собственные настраиваемые роли.

   Если вы только что создали настраиваемую роль и не видите ее в списке, нажмите кнопку Обновить.

   

Обновление пользовательской роли

1. Как было сказано ранее в этой статье, откройте список настраиваемых ролей.

2. Нажмите кнопку с многоточием (...) для настраиваемой роли, которую нужно обновить, а затем щелкните Изменить. Обратите внимание, что встроенные роли обновлять нельзя.

   Настраиваемая роль откроется в редакторе.

   

3. Используйте разные вкладки для обновления настраиваемой роли.

4. Завершив внесение изменений, щелкните вкладку Просмотр и создание, чтобы проверить изменения.

5. Нажмите кнопку Обновить, чтобы обновить настраиваемую роль.

Удаление настраиваемой роли

1. Удалите все назначения ролей, использующие пользовательскую роль. Дополнительные сведения см. в разделе "Поиск назначений ролей" для удаления настраиваемой роли.

2. Как было сказано ранее в этой статье, откройте список настраиваемых ролей.

3. Нажмите кнопку с многоточием (...) для настраиваемой роли, которую нужно удалить, а затем щелкните Удалить.

   

   Полное удаление настраиваемой роли может занять несколько минут.

Следующие шаги

• Руководство. Создание настраиваемой роли Azure с помощью Azure PowerShell
• Настраиваемые роли Azure
• Операции с поставщиками ресурсов Azure