Handledning: Skapa en anpassad Azure-roll med hjälp av Azure CLI

Om de inbyggda Azure-rollerna inte uppfyller organisationens specifika krav kan du skapa egna, anpassade roller. I den här handledningen skapar du en anpassad roll som heter Supportärendeläsare med hjälp av Azure CLI. Med den anpassade rollen kan användaren visa allt i kontrollplanet för en prenumeration och även öppna supportärenden.

I den här tutorialen lär du dig följande:

• Skapa en anpassad roll
• Lista anpassade roller
• Uppdatera en anpassad roll
• Ta bort en anpassad roll

Om du inte har en Azure-prenumeration, skapa ett gratis konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du:

• Behörigheter för att skapa anpassade roller, till exempel administratör för användaråtkomst
• Azure Cloud Shell eller Azure CLI

Logga in på Azure CLI

Logga in på Azure CLI.

Skapa en anpassad roll

Det enklaste sättet att skapa en anpassad roll är att börja med en JSON-mall, lägga till dina ändringar och sedan skapa en ny roll.

1. Granska listan över åtgärder för resursprovidern Microsoft.Support. Det är bra att känna till vilka åtgärder som är tillgängliga för att skapa dina behörigheter.

   Åtgärd	Description
   Microsoft.Support/register/action	Registrerar sig för att stödja resursprovider
   Microsoft.Support/supportTickets/read	Hämtar information om supportärenden (inklusive status, allvarlighetsgrad, kontaktuppgifter och kommunikation) eller hämtar listan över supportärenden mellan prenumerationer.
   Microsoft.Support/supportTickets/write	Skapar eller uppdaterar ett supportärende. Du kan skapa en supportbegäran för tekniska problem, fakturering, kvoter eller prenumerationshantering. Du kan uppdatera allvarlighetsgrad, kontaktuppgifter och kommunikation för befintliga supportärenden.

2. Skapa en ny fil med namnet ReaderSupportRole.json.

3. Öppna ReaderSupportRole.json i ett redigeringsprogram och lägg till följande JSON.

   Information om de olika egenskaperna finns i Anpassade Azure-roller.

   {
     "Name": "",
     "IsCustom": true,
     "Description": "",
     "Actions": [],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": [
       "/subscriptions/{subscriptionId1}"
     ]
   }
   

4. Lägg till följande åtgärder i egenskapen Actions . Med de här åtgärderna kan användaren visa allt i prenumerationen och skapa supportärenden.

   "*/read",
   "Microsoft.Support/*"
   

5. Hämta ID:t för din prenumeration med kommandot az account list .

   az account list --output table
   

6. I AssignableScopesersätter du {subscriptionId1} med ditt prenumerations-ID.

   Du måste lägga till explicita prenumerations-ID:n, annars får du inte importera rollen till din prenumeration.

7. Ändra egenskaperna Name till "Läsarsupportärenden" och Description till "Visa allt i prenumerationen och öppna även supportärenden".

   JSON-filen bör se ut så här:

   {
     "Name": "Reader Support Tickets",
     "IsCustom": true,
     "Description": "View everything in the subscription and also open support tickets.",
     "Actions": [
       "*/read",
       "Microsoft.Support/*"
     ],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": [
       "/subscriptions/00000000-0000-0000-0000-000000000000"
     ]
   }
   

8. Om du vill skapa den nya anpassade rollen använder du kommandot az role definition create och anger JSON-rolldefinitionsfilen.

   az role definition create --role-definition "~/CustomRoles/ReaderSupportRole.json"
   

   {
     "additionalProperties": {},
     "assignableScopes": [
       "/subscriptions/00000000-0000-0000-0000-000000000000"
     ],
     "description": "View everything in the subscription and also open support tickets.",
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/22222222-2222-2222-2222-222222222222",
     "name": "22222222-2222-2222-2222-222222222222",
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Support/*"
         ],
         "additionalProperties": {},
         "dataActions": [],
         "notActions": [],
         "notDataActions": []
       }
     ],
     "roleName": "Reader Support Tickets",
     "roleType": "CustomRole",
     "type": "Microsoft.Authorization/roleDefinitions"
   }
   

   Den nya anpassade rollen är nu tillgänglig och kan tilldelas till användare, grupper eller tjänstens huvudnamn precis som inbyggda roller.

Lista anpassade roller

• Om du vill visa en lista över alla dina anpassade roller använder du kommandot az role definition list med parametern --custom-role-only .

  az role definition list --custom-role-only true
  

  [
    {
      "additionalProperties": {},
      "assignableScopes": [
        "/subscriptions/00000000-0000-0000-0000-000000000000"
      ],
      "description": "View everything in the subscription and also open support tickets.",
      "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/22222222-2222-2222-2222-222222222222",
      "name": "22222222-2222-2222-2222-222222222222",
      "permissions": [
        {
          "actions": [
            "*/read",
            "Microsoft.Support/*",
            "Microsoft.Resources/deployments/*",
            "Microsoft.Insights/diagnosticSettings/*/read"
          ],
          "additionalProperties": {},
          "dataActions": [],
          "notActions": [],
          "notDataActions": []
        }
      ],
      "roleName": "Reader Support Tickets",
      "roleType": "CustomRole",
      "type": "Microsoft.Authorization/roleDefinitions"
    }
  ]
  

  Du kan också se den anpassade rollen i Azure-portalen.

  

Uppdatera en anpassad roll

Uppdatera den anpassade rollen genom att uppdatera JSON-filen och sedan uppdatera den anpassade rollen.

1. Öppna filen ReaderSupportRole.json.

2. I Actionslägger du till åtgärden för att skapa och hantera resursgruppsdistributioner "Microsoft.Resources/deployments/*". Se till att inkludera ett kommatecken efter föregående åtgärd.

   Din uppdaterade JSON-fil bör se ut så här:

   {
     "Name": "Reader Support Tickets",
     "IsCustom": true,
     "Description": "View everything in the subscription and also open support tickets.",
     "Actions": [
       "*/read",
       "Microsoft.Support/*",
       "Microsoft.Resources/deployments/*"
     ],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": [
       "/subscriptions/00000000-0000-0000-0000-000000000000"
     ]
   }
   

3. Om du vill uppdatera den anpassade rollen använder du kommandot az role definition update och anger den uppdaterade JSON-filen.

   az role definition update --role-definition "~/CustomRoles/ReaderSupportRole.json"
   

   {
     "additionalProperties": {},
     "assignableScopes": [
       "/subscriptions/00000000-0000-0000-0000-000000000000"
     ],
     "description": "View everything in the subscription and also open support tickets.",
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/22222222-2222-2222-2222-222222222222",
     "name": "22222222-2222-2222-2222-222222222222",
     "permissions": [
       {
         "actions": [
           "*/read",
           "Microsoft.Support/*",
           "Microsoft.Resources/deployments/*"
         ],
         "additionalProperties": {},
         "dataActions": [],
         "notActions": [],
         "notDataActions": []
       }
     ],
     "roleName": "Reader Support Tickets",
     "roleType": "CustomRole",
     "type": "Microsoft.Authorization/roleDefinitions"
   }
   

Ta bort en anpassad roll

• Använd kommandot az role definition delete och ange rollnamnet eller roll-ID:t för att ta bort den anpassade rollen.

  az role definition delete --name "Reader Support Tickets"
  

Nästa steg

Skapa eller uppdatera anpassade Azure-roller med Hjälp av Azure CLI