Hantera roller för tjänstens huvudnamn
För att begränsa åtkomsten till dina Azure-resurser kan du använda tjänstens huvudnamn för att hantera rolltilldelningar. Varje roll ger olika behörigheter som tillåts av användaren vid åtkomst till Azure-resurser. Det här steget i självstudien förklarar hur du skapar och tar bort roller för tjänstens huvudnamn.
Azure CLI har följande kommandon för att hantera rolltilldelningar:
Skapa eller ta bort en rolltilldelning
Deltagarrollen har fullständig behörighet att läsa och skriva till ett Azure-konto. Rollen Läsare är mer restriktiv med skrivskyddad åtkomst. Använd alltid principen om lägsta behörighet. En fullständig lista över tillgängliga roller i Azure RBAC finns i Inbyggda Azure-roller.
När en roll läggs till begränsas inte tidigare tilldelade behörigheter. Det här exemplet lägger till rollen Läsare och tar bort rollen Deltagare :
az role assignment create --assignee myServicePrincipalID \
--role Reader \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
az role assignment delete --assignee myServicePrincipalID \
--role Contributor \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
Utdatakonsol:
{
"condition": null,
"conditionVersion": null,
"createdBy": null,
"createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
"delegatedManagedIdentityResourceId": null,
"description": null,
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
"name": "00000000-0000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-0000-000000000000",
"principalType": "ServicePrincipal",
"roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
"type": "Microsoft.Authorization/roleAssignments",
"updatedBy": "00000000-0000-0000-0000-000000000000",
"updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}
Så här hämtar du ett värde för omfångsparametern
En fråga du kan ha är "Hur gör jag för att känner till --scope parametervärdet?" Svaret är att hitta och kopiera resurs-ID:t för den Azure-resurs som tjänstens huvudnamn behöver åtkomst till. Den här informationen finns vanligtvis på sidan Egenskaper eller slutpunkter i Azure-portalen för varje resurs. Här är vanliga --scope exempel, men förlitar du dig på ditt resurs-ID för ett faktiskt format och värde.
| Omfång | Exempel |
|---|---|
| Prenumeration | /subscriptions/mySubscriptionID |
| Resursgrupp | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName |
| Virtuell dator | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Compute/virtualMachines/myVMname |
| Filtjänst för lagringskonto | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Storage/storageAccounts/myStorageAccountName/fileServices/default |
| Data Factory | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.DataFactory/factories/myDataFactoryName |
Fler omfångsexempel finns i Förstå omfång för Azure RBAC.
Verifiera ändringar
Du bekräftar ändringarna genom att ange de roller som är tilldelade:
# list all role assignments for the current subscription
az role assignment list ---output table
# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com
# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID
Du kan också gå in på Azure-portalen och manuellt tilldela rollen till tjänstens huvudnamn från menyn Åtkomstkontroll (IAM). Fler exempel på hur du listar rolltilldelningar finns i Lista Azure-rolltilldelningar med Azure CLI.
Nästa steg
Nu när du har lärt dig hur du hanterar tjänstens huvudnamnsroller går du vidare till nästa steg för att lära dig hur du använder tjänstens huvudnamn för att skapa en resurs.
