Öğretici: Azure PowerShell kullanarak Azure kaynaklarına grup erişimi verme

Azure rol tabanlı erişim denetimi (Azure RBAC) Azure kaynaklarına erişimi yönetmek için kullanılan sistemdir. Bu öğreticide, Azure PowerShell kullanarak bir gruba abonelikteki her şeyi görüntüleme ve kaynak grubundaki her şeyi yönetme erişimi verirsiniz.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

• Farklı kapsamlarda bir gruba erişim izni verme
• Liste erişimi
• Erişimi kaldırma

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Uyarı

Azure ile etkileşime geçmek için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Önkoşullar

Bu öğreticiyi tamamlamak için şunlara ihtiyacınız olacak:

• Microsoft Entra ID'de grup oluşturma veya mevcut bir gruba sahip olma izinleri
• Azure Cloud Shell
• Microsoft Graph PowerShell SDK'sı

Rol atamaları

Azure RBAC'de erişim vermek için bir rol ataması oluşturursunuz. Rol ataması üç öğeden oluşur: güvenlik sorumlusu, rol tanımı ve kapsam. Bu öğreticide gerçekleştirebileceğiniz iki rol ataması şunlardır:

Güvenlik sorumlusu	Rol tanımı	Scope
Grup (RBAC Öğretici Grubu)	Okuyucu	Abonelik
Grup (RBAC Öğretici Grubu)	Katkıda Bulunan	Kaynak grubu (rbac-tutorial-resource-group)

Grup oluşturma

Rol atamak için bir kullanıcı, grup veya hizmet sorumlusu gerekir. Henüz bir grubunuz yoksa bir grup oluşturabilirsiniz.

• Azure Cloud Shell'de New-MgGroup komutunu kullanarak yeni bir grup oluşturun.

  New-MgGroup -DisplayName "RBAC Tutorial Group" -MailEnabled:$false `
      -SecurityEnabled:$true -MailNickName "NotSet"
  

  DisplayName         Id                                   MailNickname Description GroupTypes
  -----------         --                                   ------------ ----------- ----------
  RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet                   {}
  

Grup oluşturma izniniz yoksa Öğretici: Bunun yerine Azure PowerShell kullanarak kullanıcıya Azure kaynaklarına erişim izni verme makalesini deneyebilirsiniz.

Kaynak grubu oluşturma

Kaynak grubu kapsamında rol atamayı göstermek için bir kaynak grubu kullanırsınız.

1. Get-AzLocation komutunu kullanarak bölge konumlarının listesini alın.

   Get-AzLocation | select Location
   

2. Yakınınızda bir konum seçin ve bunu bir değişkene atayın.

   $location = "westus"
   

3. New-AzResourceGroup komutunu kullanarak yeni bir kaynak grubu oluşturun.

   New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location
   

   ResourceGroupName : rbac-tutorial-resource-group
   Location          : westus
   ProvisioningState : Succeeded
   Tags              :
   ResourceId        : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
   

Erişim izni ver

Gruba erişim vermek için New-AzRoleAssignment komutunu kullanarak bir rol atarsınız. Güvenlik sorumlusunu, rol tanımını ve kapsamı belirtmeniz gerekir.

1. Get-MgGroup komutunu kullanarak grubun nesne kimliğini alın.

   Get-MgGroup -Filter "DisplayName eq 'RBAC Tutorial Group'"
   

   DisplayName         Id                                   MailNickname Description GroupTypes
   -----------         --                                   ------------ ----------- ----------
   RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet                   {}
   

2. Grup nesnesi kimliğini bir değişkene kaydedin.

   $groupId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
   

3. Get-AzSubscription komutunu kullanarak aboneliğinizin kimliğini alın.

   Get-AzSubscription
   

   Name     : Pay-As-You-Go
   Id       : 00000000-0000-0000-0000-000000000000
   TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
   State    : Enabled
   

4. Abonelik kapsamını bir değişkene kaydedin.

   $subScope = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
   

5. Okuyucu rolünü abonelik kapsamındaki gruba atayın.

   New-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Reader" `
     -Scope $subScope
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

6. Kaynak grubu kapsamında gruba Katkıda Bulunan rolünü atayın.

   New-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Contributor" `
     -ResourceGroupName "rbac-tutorial-resource-group"
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Contributor
   RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

Liste erişimi

1. Aboneliğin erişimini doğrulamak için Rol atamalarını listelemek için Get-AzRoleAssignment komutunu kullanın.

   Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

   Çıktıda, Okuyucu rolünün abonelik kapsamındaki RBAC Öğretici Grubuna atandığını görebilirsiniz.

2. Kaynak grubuna erişimi doğrulamak için Get-AzRoleAssignment komutunu kullanarak rol atamalarını listeleyin.

   Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"
   

   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Contributor
   RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   
   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
   DisplayName        : RBAC Tutorial Group
   SignInName         :
   RoleDefinitionName : Reader
   RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : Group
   CanDelegate        : False
   

   Çıktıda hem Katkıda Bulunan hem de Okuyucu rollerinin RBAC Eğitim Grubuna atandığını görebilirsiniz. Katılımcı rolü rbac-tutorial-resource-group kapsamındadır ve Okuyucu rolü abonelik kapsamında devralınır.

(İsteğe bağlı) Azure portalını kullanarak erişimi listeleme

1. Rol atamalarının Azure portalında nasıl göründüğünü görmek için aboneliğin Erişim denetimi (IAM) dikey penceresini görüntüleyin.

   

2. Kaynak grubunun Erişim denetimi (IAM) panelini görüntüleyin.

   

Erişimi kaldırma

Kullanıcıların, grupların ve uygulamaların erişimini kaldırmak için Remove-AzRoleAssignment komutunu kullanarak rol atamasını kaldırın.

1. Kaynak grubu kapsamında grubun "Contributor" rol atamasını kaldırmak için aşağıdaki komutu kullanın.

   Remove-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Contributor" `
     -ResourceGroupName "rbac-tutorial-resource-group"
   

2. Abonelik kapsamında grubun Okuyucu rolü atamasını kaldırmak için aşağıdaki komutu kullanın.

   Remove-AzRoleAssignment -ObjectId $groupId `
     -RoleDefinitionName "Reader" `
     -Scope $subScope
   

Kaynakları temizleme

Bu öğretici tarafından oluşturulan kaynakları temizlemek için kaynak grubunu ve grubu silin.

1. Remove-AzResourceGroup komutunu kullanarak kaynak grubunu silin.

   Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"
   

   Confirm
   Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
   [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"):
   

2. Onaylaması istendiğinde Y yazın. Silinmesi birkaç saniye sürer.

3. Remove-MgGroup komutunu kullanarak grubu silin.

   Remove-MgGroup -GroupID $groupId
   

   Grubu silmeye çalıştığınızda bir hata alırsanız, grubu portaldan da silebilirsiniz.

Sonraki adımlar

Azure PowerShell kullanarak Azure rolleri atama