Руководство. Предоставление группового доступа к ресурсам Azure с помощью Azure PowerShell

Управление доступом на основе ролей Azure (Azure RBAC) — это способ управления доступом к ресурсам в Azure. В этом руководстве описано, как предоставлять групповой доступ для просмотра любого содержимого в рамках подписки и обеспечивать полное управление в группе ресурсов с помощью Azure PowerShell.

В этом руководстве описано следующее:

• Предоставление доступа для группы в разных областях
• Вывод списка доступа
• Отмена доступа

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Необходимые компоненты

Для выполнения этого руководства потребуется следующее:

• Разрешения на создание групп в идентификаторе Microsoft Entra (или существующей группе)
• Azure Cloud Shell
• Microsoft Graph PowerShell SDK

Назначения ролей

При использовании Azure RBAC для предоставления доступа нужно создать назначение ролей. Назначение ролей состоит из трех элементов: субъект безопасности, определение роли и область действия. Ниже приведены два варианта назначения роли, которые мы выполним в ходе работы с этим руководством.

Субъект безопасности	Определение роли	Область
Групповой (Группа из руководства по RBAC)	Читатель	Отток подписок
Групповой (Группа из руководства по RBAC)	Участник	Группа ресурсов (группа-ресурсов-из-руководства-по-rbac)

Создать группу

Чтобы назначить роль, нам нужен пользователь, группа или субъект-служба. Если у вас еще нет группы, создайте ее.

• В Azure Cloud Shell создайте новую группу с помощью команды New-MgGroup .

  New-MgGroup -DisplayName "RBAC Tutorial Group" -MailEnabled:$false `
      -SecurityEnabled:$true -MailNickName "NotSet"
  

  DisplayName         Id                                   MailNickname Description GroupTypes
  -----------         --                                   ------------ ----------- ----------
  RBAC Tutorial Group 11111111-1111-1111-1111-111111111111 NotSet                   {}
  

Если у вас нет разрешений на создание групп, воспользуйтесь руководством. Предоставьте пользователю доступ к ресурсам Azure с помощью Azure PowerShell .

Создание или изменение группы ресурсов

Используйте группу ресурсов, чтобы показать, как назначить роль в области действия группы ресурсов.

1. Получите список расположений в регионе с помощью команды Get-AzLocation.

   Get-AzLocation | select Location
   

2. Выберите расположение недалеко от вас и присвойте его переменной.

   $location = "westus"
   

3. Создайте группу ресурсов с помощью команды New-AzResourceGroup.

   New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location
   

   ResourceGroupName : rbac-tutorial-resource-group
   Location          : westus
   ProvisioningState : Succeeded
   Tags              :
   ResourceId        : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
   

Предоставление доступа

Чтобы предоставить доступ для группы, используйте команду New-AzRoleAssignment для назначения роли. Необходимо указать субъект безопасности, определение роли и область действия.

1. Получите идентификатор объекта группы с помощью команды Get-MgGroup .

   Get-MgGroup -Filter "DisplayName eq 'RBAC Tutorial Group'"
   

   DisplayName         Id                                   MailNickname Description GroupTypes
   -----------         --                                   ------------ ----------- ----------
   RBAC Tutorial Group 11111111-1111-1111-1111-111111111111 NotSet                   {}
   

2. Сохраните идентификатор объекта группы в переменной.

   $groupId = "11111111-1111-1111-1111-111111111111"
   

3. Получите идентификатор подписки с помощью команды Get-AzSubscription.

   Get-AzSubscription
   

   Name     : Pay-As-You-Go
   Id       : 00000000-0000-0000-0000-000000000000
   TenantId : 22222222-2222-2222-2222-222222222222
   State    : Enabled
   

4. Сохраните область действия подписки в переменной.

   $subScope = "/subscriptions/00000000-0000-0000-0000-000000000000"
   

5. Назначьте группе роль Читатель в области действия подписки.

   New-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Reader" `
     -Scope $subScope
   

   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/44444444-4444-4444-4444-444444444444
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : 11111111-1111-1111-1111-111111111111
   ObjectType         : Group
   CanDelegate        : False
   

6. Назначьте роль Участник в области действия группы ресурсов.

   New-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Contributor" `
     -ResourceGroupName "rbac-tutorial-resource-group"
   

   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Contributor
   RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
   ObjectId           : 11111111-1111-1111-1111-111111111111
   ObjectType         : Group
   CanDelegate        : False
   

Вывод списка доступа

1. Чтобы проверить доступ для подписки, используйте команду Get-AzRoleAssignment, которая отобразит список назначений ролей.

   Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope
   

   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : 11111111-1111-1111-1111-111111111111
   ObjectType         : Group
   CanDelegate        : False
   

   В выходных данных вы увидите, что роль "Читатель" была назначена группе руководства по RBAC в пределах области действия подписки.

2. Чтобы проверить доступ для группы ресурсов, используйте команду Get-AzRoleAssignment, которая отобразит список назначений ролей.

   Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"
   

   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Contributor
   RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
   ObjectId           : 11111111-1111-1111-1111-111111111111
   ObjectType         : Group
   CanDelegate        : False
   
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : 11111111-1111-1111-1111-111111111111
   ObjectType         : Group
   CanDelegate        : False
   

   В выходных данных вы увидите, что обе роли — и "Читатель", и "Участник" — были назначены группе руководства по RBAC. Роль "Участник" находится в области действия группы ресурсов из руководства по RBAC, а роль "Читатель" наследуется в области действия подписки.

(Необязательно.) Вывод списка доступа с помощью портала Azure

1. Чтобы увидеть, как выглядят назначения ролей на портале Azure, просмотрите колонку Управление доступом (IAM) для подписки.

   

2. Просмотрите колонку Управление доступом (IAM) для группы ресурсов.

   

Отмена доступа

Чтобы лишить прав доступа пользователей, группы и приложения, используйте команду Remove-AzRoleAssignment для удаления назначений ролей.

1. Используйте следующую команду, чтобы удалить назначение роли участника для группы в области действия группы ресурсов.

   Remove-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Contributor" `
     -ResourceGroupName "rbac-tutorial-resource-group"
   

2. Используйте следующую команду, чтобы удалить назначение роли читателя для группы в области действия подписки.

   Remove-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Reader" `
     -Scope $subScope
   

Очистка ресурсов

Чтобы очистить ресурсы, созданные при работе с этим руководством, удалите группу ресурсов и саму группу.

1. Удалите группу ресурсов с помощью команды Remove-AzResourceGroup.

   Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"
   

   Confirm
   Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"):
   

2. При запросе на подтверждение введите Y. Удаление займет несколько секунд.

3. Удалите группу с помощью команды Remove-MgGroup .

   Remove-MgGroup -GroupID $groupId
   

   Если при попытке удалить группу появится ошибка, можно также удалить группу на портале.

Следующие шаги

Назначение ролей Azure с помощью Azure PowerShell