Azure portalını kullanarak Azure özel rollerini oluşturma veya güncelleştirme
Azure yerleşik rolleri kuruluşunuzun belirli gereksinimlerini karşılamıyorsa kendi Azure özel rollerinizi oluşturabilirsiniz. Yerleşik roller gibi, yönetim grubu, abonelik ve kaynak grubu kapsamlarında kullanıcılara, gruplara ve hizmet sorumlularına özel roller atayabilirsiniz. Özel roller bir Microsoft Entra dizininde depolanır ve abonelikler arasında paylaşılabilir. Her dizinin en fazla 5000 özel rolü olabilir. Özel roller Azure portalı, Azure PowerShell, Azure CLI veya REST API kullanılarak oluşturulabilir. Bu makalede, Azure portalını kullanarak özel rollerin nasıl oluşturulacağı açıklanır.
Ön koşullar
Özel roller oluşturmak için şunları yapmanız gerekir:
- Sahip veya Kullanıcı Erişimi Yöneticisi gibi özel rol oluşturma izni
1. Adım: İhtiyacınız olan izinleri belirleme
Azure,özel rolünüzde içerebileceğiniz binlerce izne sahiptir. Özel rolünüz için eklemek istediğiniz izinleri belirlemenize yardımcı olabilecek bazı yöntemler şunlardır:
- Mevcut yerleşik rollere bakın.
- Erişim vermek istediğiniz Azure hizmetlerini listeleyin.
- Azure hizmetleriyle eşleyen kaynak sağlayıcılarını belirleyin. Arama yöntemi daha sonra 4. Adım: İzinler bölümünde açıklanmıştır.
- Eklemek istediğiniz izinleri bulmak için kullanılabilir izinleri arayın. Arama yöntemi daha sonra 4. Adım: İzinler bölümünde açıklanmıştır.
2. Adım: Nasıl başlatileceğini seçin
Özel rol oluşturmaya başlamanın üç yolu vardır. Mevcut bir rolü kopyalayabilir, sıfırdan başlayabilir veya bir JSON dosyasıyla başlayabilirsiniz. En kolay yol, ihtiyacınız olan izinlerin çoğuna sahip olan mevcut bir rolü bulmak ve senaryonuz için kopyalayıp değiştirmektir.
Rol kopyala
Mevcut bir rol tam olarak ihtiyacınız olan izinlere sahip değilse, bunu kopyalayabilir ve sonra izinleri değiştirebilirsiniz. Rol kopyalamaya başlamak için bu adımları izleyin.
Azure portalında, özel rolün atanabilir olmasını istediğiniz bir yönetim grubu, abonelik veya kaynak grubu açın ve ardından Erişim denetimi (IAM) öğesini açın.
Aşağıdaki ekran görüntüsünde abonelik için açılan Erişim denetimi (IAM) sayfası gösterilmektedir.
Tüm yerleşik ve özel rollerin listesini görmek için Roller sekmesine tıklayın.
Kopyalamak istediğiniz rol için (Faturalama Okuyucusu rolü gibi) arama yapın.
Satırın sonundaki üç noktaya ( ... ) ve sonra da Kopyala'ya tıklayın.
Bu işlem, Rol kopyala seçeneğinin seçili olduğu özel roller düzenleyicisini açar.
Sıfırdan başlama
İsterseniz, sıfırdan özel bir rol başlatmak için bu adımları izleyebilirsiniz.
Azure portalında, özel rolün atanabilir olmasını istediğiniz bir yönetim grubu, abonelik veya kaynak grubu açın ve ardından Erişim denetimi (IAM) öğesini açın.
Ekle'ye ve ardından Özel rol ekle'ye tıklayın.
Bu işlem, sıfırdan başla seçeneğinin seçili olduğu özel roller düzenleyicisini açar.
JSON dosyasından başlat
İsterseniz, özel rol değerlerinizin çoğunu bir JSON dosyasında belirtebilirsiniz. Dosyayı özel roller düzenleyicisinde açabilir, ek değişiklikler yapabilir ve ardından özel rolü oluşturabilirsiniz. JSON dosyasıyla başlamak için bu adımları izleyin.
Aşağıdaki biçime sahip bir JSON dosyası oluşturun:
{ "properties": { "roleName": "", "description": "", "assignableScopes": [], "permissions": [ { "actions": [], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }
JSON dosyasında, çeşitli özellikler için değerleri belirtin. Aşağıda bazı değerlerin eklendiği bir örnek verilmiştir. Farklı özellikler hakkında bilgi için bkz . Azure rol tanımlarını anlama.
{ "properties": { "roleName": "Billing Reader Plus", "description": "Read billing data and download invoices", "assignableScopes": [ "/subscriptions/11111111-1111-1111-1111-111111111111" ], "permissions": [ { "actions": [ "Microsoft.Authorization/*/read", "Microsoft.Billing/*/read", "Microsoft.Commerce/*/read", "Microsoft.Consumption/*/read", "Microsoft.Management/managementGroups/read", "Microsoft.CostManagement/*/read", "Microsoft.Support/*" ], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }
Azure portalında Erişim denetimi (IAM) sayfasını açın.
Ekle'ye ve ardından Özel rol ekle'ye tıklayın.
Bu işlem özel rol düzenleyicisini açar.
Temel bilgiler sekmesindeki Temel izinler'de JSON'dan başlat'ı seçin.
Dosya seçin kutusunun yanındaki klasör düğmesine tıklayarak Aç iletişim kutusunu açın.
JSON dosyanızı seçin ve aç'a tıklayın.
3. Adım: Temel Bilgiler
Temel Bilgiler sekmesinde, özel rolünüz için ad, açıklama ve temel izinleri belirtirsiniz.
Özel rol adı kutusunda, özel rol için bir ad belirtin. Ad, Microsoft Entra dizini için benzersiz olmalıdır. Ad harfler, sayılar, boşluklar ve özel karakterler içerebilir.
Açıklama kutusunda, özel rol için isteğe bağlı bir açıklama belirtin. Bu, özel rolün araç ipucu olur.
Temel izinler seçeneği önceki adıma göre ayarlanmış olmalıdır, ancak değiştirebilirsiniz.
4. Adım: İzinler
İzinler sekmesinde, özel rolünüz için izinleri belirtirsiniz. Bir rolü kopyalayıp kopyalamadığınıza veya JSON ile başlayıp başlamadığınıza bağlı olarak, İzinler sekmesinde bazı izinler listelenmiş olabilir.
İzin ekleme veya kaldırma
Özel rolünüz için izinleri eklemek veya kaldırmak için bu adımları izleyin.
İzin eklemek için İzin ekle'ye tıklayarak İzin ekle bölmesini açın.
Bu bölmede, kullanılabilir tüm izinler kart biçiminde farklı kategoriler halinde gruplandırılır. Her kategori, Azure kaynaklarını sağlayan bir hizmet olan bir kaynak sağlayıcısını temsil eder.
İzin ara kutusuna izinleri aramak için bir dize yazın. Örneğin, faturayla ilgili izinleri bulmak için faturayı arayın.
Arama dizenize göre kaynak sağlayıcısı kartlarının listesi görüntülenir. Kaynak sağlayıcılarının Azure hizmetleriyle nasıl eşlediğinin listesi için bkz . Azure hizmetleri için kaynak sağlayıcıları.
Microsoft Faturalama gibi özel rolünüz için eklemek istediğiniz izinlere sahip olabilecek bir kaynak sağlayıcısı kartına tıklayın.
Bu kaynak sağlayıcısı için yönetim izinlerinin listesi, arama dizenize göre görüntülenir.
Veri düzlemi için geçerli izinleri arıyorsanız Veri Eylemleri'ne tıklayın. Aksi takdirde, denetim düzlemine uygulanan izinleri listelemek için eylemler iki durumlu düğmesini Eylemler olarak bırakın. Denetim düzlemi ile veri düzlemi arasındaki farklar hakkında daha fazla bilgi için bkz . Denetim ve veri eylemleri.
Gerekirse, aramanızı daha da daraltmak için arama dizesini güncelleştirin.
Özel rolünüze eklemek istediğiniz bir veya daha fazla izin bulduğunuzda, izinlerin yanına bir onay işareti ekleyin. Örneğin, Diğer: Faturayı İndir'in yanına bir onay işareti ekleyerek faturaları indirme iznini ekleyin.
İzin listenize izin eklemek için Ekle'ye tıklayın.
İzin veya
Actions
DataActions
olarak eklenir.İzinleri kaldırmak için satırın sonundaki sil simgesine tıklayın. Bu örnekte, bir kullanıcının destek bileti oluşturma özelliğine ihtiyacı olmadığından izin
Microsoft.Support/*
silinebilir.
Joker karakter izinleri ekleme
Nasıl başlamayı seçtiğinize bağlı olarak, izin listenizde joker karakterlerle (*
) izinleriniz olabilir. Joker karakter (*
), bir izni, sağladığınız eylem dizesiyle eşleşen her şeye genişletir. Örneğin, aşağıdaki joker karakter dizesi Azure Maliyet Yönetimi ve dışarı aktarma işlemleriyle ilgili tüm izinleri ekler. Bu, gelecekte eklenebilecek tüm dışarı aktarma izinlerini de içerir.
Microsoft.CostManagement/exports/*
Yeni bir joker karakter izni eklemek istiyorsanız, İzin ekle bölmesini kullanarak bu izni ekleyemezsiniz. Joker karakter izni eklemek için JSON sekmesini kullanarak el ile eklemeniz gerekir. Daha fazla bilgi için bkz. 6. Adım: JSON.
Dekont
Joker karakteri (*
) kullanmak yerine açıkça belirtmeniz Actions
DataActions
önerilir. Gelecekte Actions
verilen ek erişim ve izinler veya DataActions
joker karakter kullanılarak istenmeyen davranışlar olabilir.
İzinleri dışlama
Rolünüzün joker karakter (*
) izni varsa ve belirli izinleri bu joker karakter izninden çıkarmak veya çıkarmak istiyorsanız, bunları dışlayabilirsiniz. Örneğin, aşağıdaki joker karakter iznine sahip olduğunuzu varsayalım:
Microsoft.CostManagement/exports/*
Dışarı aktarmanın silinmesine izin vermek istemiyorsanız, aşağıdaki silme iznini dışlayabilirsiniz:
Microsoft.CostManagement/exports/delete
Bir izni dışladığınızda, veya NotDataActions
olarak NotActions
eklenir. Etkili yönetim izinleri, öğesinin Actions
tümü eklenerek ve ardından tüm NotActions
çıkarılarak hesaplanır. Etkili veri izinleri, öğesinin DataActions
tümü eklenip tüm çıkarılarak NotDataActions
hesaplanır.
Dekont
İzinlerin dışlanması, reddetme ile aynı değildir. İzinleri dışlamak, joker karakter izninden izinleri çıkarmanın kolay bir yoludur.
İzin verilen joker karakter izinlerinden bir izni dışlamak veya çıkarmak için İzinleri dışla'ya tıklayarak İzinleri dışla bölmesini açın.
Bu bölmede, dışlanan veya çıkarılan yönetim veya veri izinlerini belirtirsiniz.
Dışlamak istediğiniz bir veya daha fazla izin bulduğunuzda, izinlerin yanına bir onay işareti ekleyin ve ekle düğmesine tıklayın.
İzin veya
NotDataActions
olarakNotActions
eklenir.
5. Adım: Atanabilir kapsamlar
Atanabilir kapsamlar sekmesinde, yönetim grubu, abonelikler veya kaynak grupları gibi atama için özel rolünüzün nerede kullanılabilir olduğunu belirtirsiniz. Nasıl başlamayı seçtiğinize bağlı olarak, bu sekme erişim denetimi (IAM) sayfasını açtığınız kapsamı zaten listelemiş olabilir.
Atanabilir kapsamlarda yalnızca bir yönetim grubu tanımlayabilirsiniz. Atanabilir kapsamın kök kapsama ("/") ayarlanması desteklenmez.
Atanabilir kapsam ekle bölmesini açmak için Atanabilir kapsam ekle'ye tıklayın.
Kullanmak istediğiniz bir veya daha fazla kapsama(genellikle aboneliğiniz) tıklayın.
Atanabilir kapsamınızı eklemek için Ekle düğmesine tıklayın.
6. Adım: JSON
JSON sekmesinde, özel rolünüzün JSON'da biçimlendirildiğini görürsünüz. İsterseniz, JSON'ı doğrudan düzenleyebilirsiniz.
JSON'ı düzenlemek için Düzenle'ye tıklayın.
JSON'da değişiklik yapın.
JSON doğru biçimlendirilmemişse, dikey cilt payı içinde kırmızı pürüzlü bir çizgi ve bir gösterge görürsünüz.
Düzenlemeyi bitirdiğinizde Kaydet'e tıklayın.
7. Adım: Gözden geçirme + oluşturma
Gözden geçir ve oluştur sekmesinde özel rol ayarlarınızı gözden geçirebilirsiniz.
Özel rol ayarlarınızı gözden geçirin.
Özel rolünüzü oluşturmak için Oluştur'a tıklayın.
Birkaç dakika sonra özel rolünüzün başarıyla oluşturulduğunu belirten bir ileti kutusu görüntülenir.
Herhangi bir hata algılanırsa bir ileti görüntülenir.
Roller listesinde yeni özel rolünüzü görüntüleyin. Özel rolünüzü görmüyorsanız Yenile'ye tıklayın.
Özel rolünüzün her yerde görünmesi birkaç dakika sürebilir.
Özel rolleri listeleme
Özel rollerinizi görüntülemek için bu adımları izleyin.
Bir yönetim grubu, abonelik veya kaynak grubu açın ve ardından Erişim denetimi (IAM) öğesini açın.
Tüm yerleşik ve özel rollerin listesini görmek için Roller sekmesine tıklayın.
Tür listesinde CustomRole'ı seçerek yalnızca özel rollerinizi görün.
Özel rolünüzü yeni oluşturduysanız ve listede görmüyorsanız Yenile'ye tıklayın.
Özel rolü güncelleştirme
Bu makalenin önceki bölümlerinde açıklandığı gibi özel roller listenizi açın.
Güncelleştirmek istediğiniz özel rol için üç noktaya (...) ve ardından Düzenle'ye tıklayın. Yerleşik rolleri güncelleştiremeyeceğinizi unutmayın.
Özel rol düzenleyicide açılır.
Özel rolü güncelleştirmek için farklı sekmeleri kullanın.
Değişikliklerinizi tamamladıktan sonra, değişikliklerinizi gözden geçirmek için Gözden Geçir + oluştur sekmesine tıklayın.
Özel rolünüzü güncelleştirmek için Güncelleştir düğmesine tıklayın.
Özel rolü silme
Özel rolü kullanan tüm rol atamalarını kaldırın. Daha fazla bilgi için bkz . Özel rolü silmek için rol atamalarını bulma.
Bu makalenin önceki bölümlerinde açıklandığı gibi özel roller listenizi açın.
Silmek istediğiniz özel rol için üç noktaya (...) ve ardından Sil'e tıklayın.
Özel rolünüzün tamamen silinmesi birkaç dakika sürebilir.