Azure portalını kullanarak Azure özel rollerini oluşturma veya güncelleştirme

  • Makale

Azure yerleşik rolleri kuruluşunuzun belirli gereksinimlerini karşılamıyorsa kendi Azure özel rollerinizi oluşturabilirsiniz. Yerleşik roller gibi, yönetim grubu, abonelik ve kaynak grubu kapsamlarında kullanıcılara, gruplara ve hizmet sorumlularına özel roller atayabilirsiniz. Özel roller bir Microsoft Entra dizininde depolanır ve abonelikler arasında paylaşılabilir. Her dizinin en fazla 5000 özel rolü olabilir. Özel roller Azure portalı, Azure PowerShell, Azure CLI veya REST API kullanılarak oluşturulabilir. Bu makalede, Azure portalını kullanarak özel rollerin nasıl oluşturulacağı açıklanır.

Ön koşullar

Özel roller oluşturmak için şunları yapmanız gerekir:

1. Adım: İhtiyacınız olan izinleri belirleme

Azure,özel rolünüzde içerebileceğiniz binlerce izne sahiptir. Özel rolünüz için eklemek istediğiniz izinleri belirlemenize yardımcı olabilecek bazı yöntemler şunlardır:

2. Adım: Nasıl başlatileceğini seçin

Özel rol oluşturmaya başlamanın üç yolu vardır. Mevcut bir rolü kopyalayabilir, sıfırdan başlayabilir veya bir JSON dosyasıyla başlayabilirsiniz. En kolay yol, ihtiyacınız olan izinlerin çoğuna sahip olan mevcut bir rolü bulmak ve senaryonuz için kopyalayıp değiştirmektir.

Rol kopyala

Mevcut bir rol tam olarak ihtiyacınız olan izinlere sahip değilse, bunu kopyalayabilir ve sonra izinleri değiştirebilirsiniz. Rol kopyalamaya başlamak için bu adımları izleyin.

  1. Azure portalında, özel rolün atanabilir olmasını istediğiniz bir yönetim grubu, abonelik veya kaynak grubu açın ve ardından Erişim denetimi (IAM) öğesini açın.

    Aşağıdaki ekran görüntüsünde abonelik için açılan Erişim denetimi (IAM) sayfası gösterilmektedir.

    Access control (IAM) page for a subscription

  2. Tüm yerleşik ve özel rollerin listesini görmek için Roller sekmesine tıklayın.

  3. Kopyalamak istediğiniz rol için (Faturalama Okuyucusu rolü gibi) arama yapın.

  4. Satırın sonundaki üç noktaya ( ... ) ve sonra da Kopyala'ya tıklayın.

    Clone context menu

    Bu işlem, Rol kopyala seçeneğinin seçili olduğu özel roller düzenleyicisini açar.

  5. 3. Adım: Temel Bilgiler'e geçin.

Sıfırdan başlama

İsterseniz, sıfırdan özel bir rol başlatmak için bu adımları izleyebilirsiniz.

  1. Azure portalında, özel rolün atanabilir olmasını istediğiniz bir yönetim grubu, abonelik veya kaynak grubu açın ve ardından Erişim denetimi (IAM) öğesini açın.

  2. Ekle'ye ve ardından Özel rol ekle'ye tıklayın.

    Screenshot showing Add custom role menu.

    Bu işlem, sıfırdan başla seçeneğinin seçili olduğu özel roller düzenleyicisini açar.

  3. 3. Adım: Temel Bilgiler'e geçin.

JSON dosyasından başlat

İsterseniz, özel rol değerlerinizin çoğunu bir JSON dosyasında belirtebilirsiniz. Dosyayı özel roller düzenleyicisinde açabilir, ek değişiklikler yapabilir ve ardından özel rolü oluşturabilirsiniz. JSON dosyasıyla başlamak için bu adımları izleyin.

  1. Aşağıdaki biçime sahip bir JSON dosyası oluşturun:

    {
    "properties": {
        "roleName": "",
        "description": "",
        "assignableScopes": [],
        "permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

  2. JSON dosyasında, çeşitli özellikler için değerleri belirtin. Aşağıda bazı değerlerin eklendiği bir örnek verilmiştir. Farklı özellikler hakkında bilgi için bkz . Azure rol tanımlarını anlama.

    {
    "properties": {
        "roleName": "Billing Reader Plus",
        "description": "Read billing data and download invoices",
        "assignableScopes": [
            "/subscriptions/11111111-1111-1111-1111-111111111111"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Billing/*/read",
                    "Microsoft.Commerce/*/read",
                    "Microsoft.Consumption/*/read",
                    "Microsoft.Management/managementGroups/read",
                    "Microsoft.CostManagement/*/read",
                    "Microsoft.Support/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

  3. Azure portalında Erişim denetimi (IAM) sayfasını açın.

  4. Ekle'ye ve ardından Özel rol ekle'ye tıklayın.

    Screenshot showing Add custom role menu.

    Bu işlem özel rol düzenleyicisini açar.

  5. Temel bilgiler sekmesindeki Temel izinler'de JSON'dan başlat'ı seçin.

  6. Dosya seçin kutusunun yanındaki klasör düğmesine tıklayarak Aç iletişim kutusunu açın.

  7. JSON dosyanızı seçin ve aç'a tıklayın.

  8. 3. Adım: Temel Bilgiler'e geçin.

3. Adım: Temel Bilgiler

Temel Bilgiler sekmesinde, özel rolünüz için ad, açıklama ve temel izinleri belirtirsiniz.

  1. Özel rol adı kutusunda, özel rol için bir ad belirtin. Ad, Microsoft Entra dizini için benzersiz olmalıdır. Ad harfler, sayılar, boşluklar ve özel karakterler içerebilir.

  2. Açıklama kutusunda, özel rol için isteğe bağlı bir açıklama belirtin. Bu, özel rolün araç ipucu olur.

    Temel izinler seçeneği önceki adıma göre ayarlanmış olmalıdır, ancak değiştirebilirsiniz.

    Basics tab with values specified

4. Adım: İzinler

İzinler sekmesinde, özel rolünüz için izinleri belirtirsiniz. Bir rolü kopyalayıp kopyalamadığınıza veya JSON ile başlayıp başlamadığınıza bağlı olarak, İzinler sekmesinde bazı izinler listelenmiş olabilir.

Permissions tab of create custom role

İzin ekleme veya kaldırma

Özel rolünüz için izinleri eklemek veya kaldırmak için bu adımları izleyin.

  1. İzin eklemek için İzin ekle'ye tıklayarak İzin ekle bölmesini açın.

    Bu bölmede, kullanılabilir tüm izinler kart biçiminde farklı kategoriler halinde gruplandırılır. Her kategori, Azure kaynaklarını sağlayan bir hizmet olan bir kaynak sağlayıcısını temsil eder.

  2. İzin ara kutusuna izinleri aramak için bir dize yazın. Örneğin, faturayla ilgili izinleri bulmak için faturayı arayın.

    Arama dizenize göre kaynak sağlayıcısı kartlarının listesi görüntülenir. Kaynak sağlayıcılarının Azure hizmetleriyle nasıl eşlediğinin listesi için bkz . Azure hizmetleri için kaynak sağlayıcıları.

    Add permissions pane with resource provider

  3. Microsoft Faturalama gibi özel rolünüz için eklemek istediğiniz izinlere sahip olabilecek bir kaynak sağlayıcısı kartına tıklayın.

    Bu kaynak sağlayıcısı için yönetim izinlerinin listesi, arama dizenize göre görüntülenir.

    Add permissions list

  4. Veri düzlemi için geçerli izinleri arıyorsanız Veri Eylemleri'ne tıklayın. Aksi takdirde, denetim düzlemine uygulanan izinleri listelemek için eylemler iki durumlu düğmesini Eylemler olarak bırakın. Denetim düzlemi ile veri düzlemi arasındaki farklar hakkında daha fazla bilgi için bkz . Denetim ve veri eylemleri.

  5. Gerekirse, aramanızı daha da daraltmak için arama dizesini güncelleştirin.

  6. Özel rolünüze eklemek istediğiniz bir veya daha fazla izin bulduğunuzda, izinlerin yanına bir onay işareti ekleyin. Örneğin, Diğer: Faturayı İndir'in yanına bir onay işareti ekleyerek faturaları indirme iznini ekleyin.

  7. İzin listenize izin eklemek için Ekle'ye tıklayın.

    İzin veya ActionsDataActionsolarak eklenir.

    Permission added

  8. İzinleri kaldırmak için satırın sonundaki sil simgesine tıklayın. Bu örnekte, bir kullanıcının destek bileti oluşturma özelliğine ihtiyacı olmadığından izin Microsoft.Support/* silinebilir.

Joker karakter izinleri ekleme

Nasıl başlamayı seçtiğinize bağlı olarak, izin listenizde joker karakterlerle (*) izinleriniz olabilir. Joker karakter (*), bir izni, sağladığınız eylem dizesiyle eşleşen her şeye genişletir. Örneğin, aşağıdaki joker karakter dizesi Azure Maliyet Yönetimi ve dışarı aktarma işlemleriyle ilgili tüm izinleri ekler. Bu, gelecekte eklenebilecek tüm dışarı aktarma izinlerini de içerir.

Microsoft.CostManagement/exports/*

Yeni bir joker karakter izni eklemek istiyorsanız, İzin ekle bölmesini kullanarak bu izni ekleyemezsiniz. Joker karakter izni eklemek için JSON sekmesini kullanarak el ile eklemeniz gerekir. Daha fazla bilgi için bkz. 6. Adım: JSON.

Dekont

Joker karakteri (*) kullanmak yerine açıkça belirtmeniz ActionsDataActions önerilir. Gelecekte Actions verilen ek erişim ve izinler veya DataActions joker karakter kullanılarak istenmeyen davranışlar olabilir.

İzinleri dışlama

Rolünüzün joker karakter (*) izni varsa ve belirli izinleri bu joker karakter izninden çıkarmak veya çıkarmak istiyorsanız, bunları dışlayabilirsiniz. Örneğin, aşağıdaki joker karakter iznine sahip olduğunuzu varsayalım:

Microsoft.CostManagement/exports/*

Dışarı aktarmanın silinmesine izin vermek istemiyorsanız, aşağıdaki silme iznini dışlayabilirsiniz:

Microsoft.CostManagement/exports/delete

Bir izni dışladığınızda, veya NotDataActionsolarak NotActions eklenir. Etkili yönetim izinleri, öğesinin Actions tümü eklenerek ve ardından tüm NotActionsçıkarılarak hesaplanır. Etkili veri izinleri, öğesinin DataActions tümü eklenip tüm çıkarılarak NotDataActionshesaplanır.

Dekont

İzinlerin dışlanması, reddetme ile aynı değildir. İzinleri dışlamak, joker karakter izninden izinleri çıkarmanın kolay bir yoludur.

  1. İzin verilen joker karakter izinlerinden bir izni dışlamak veya çıkarmak için İzinleri dışla'ya tıklayarak İzinleri dışla bölmesini açın.

    Bu bölmede, dışlanan veya çıkarılan yönetim veya veri izinlerini belirtirsiniz.

  2. Dışlamak istediğiniz bir veya daha fazla izin bulduğunuzda, izinlerin yanına bir onay işareti ekleyin ve ekle düğmesine tıklayın.

    Exclude permissions pane - permission selected

    İzin veya NotDataActionsolarak NotActions eklenir.

    Permission excluded

5. Adım: Atanabilir kapsamlar

Atanabilir kapsamlar sekmesinde, yönetim grubu, abonelikler veya kaynak grupları gibi atama için özel rolünüzün nerede kullanılabilir olduğunu belirtirsiniz. Nasıl başlamayı seçtiğinize bağlı olarak, bu sekme erişim denetimi (IAM) sayfasını açtığınız kapsamı zaten listelemiş olabilir.

Atanabilir kapsamlarda yalnızca bir yönetim grubu tanımlayabilirsiniz. Atanabilir kapsamın kök kapsama ("/") ayarlanması desteklenmez.

  1. Atanabilir kapsam ekle bölmesini açmak için Atanabilir kapsam ekle'ye tıklayın.

    Assignable scopes tab

  2. Kullanmak istediğiniz bir veya daha fazla kapsama(genellikle aboneliğiniz) tıklayın.

    Add assignable scopes

  3. Atanabilir kapsamınızı eklemek için Ekle düğmesine tıklayın.

6. Adım: JSON

JSON sekmesinde, özel rolünüzün JSON'da biçimlendirildiğini görürsünüz. İsterseniz, JSON'ı doğrudan düzenleyebilirsiniz.

  1. JSON'ı düzenlemek için Düzenle'ye tıklayın.

    JSON tab showing custom role

  2. JSON'da değişiklik yapın.

    JSON doğru biçimlendirilmemişse, dikey cilt payı içinde kırmızı pürüzlü bir çizgi ve bir gösterge görürsünüz.

  3. Düzenlemeyi bitirdiğinizde Kaydet'e tıklayın.

7. Adım: Gözden geçirme + oluşturma

Gözden geçir ve oluştur sekmesinde özel rol ayarlarınızı gözden geçirebilirsiniz.

  1. Özel rol ayarlarınızı gözden geçirin.

    Review + create tab

  2. Özel rolünüzü oluşturmak için Oluştur'a tıklayın.

    Birkaç dakika sonra özel rolünüzün başarıyla oluşturulduğunu belirten bir ileti kutusu görüntülenir.

    Create custom role message

    Herhangi bir hata algılanırsa bir ileti görüntülenir.

    Review + create error

  3. Roller listesinde yeni özel rolünüzü görüntüleyin. Özel rolünüzü görmüyorsanız Yenile'ye tıklayın.

    Özel rolünüzün her yerde görünmesi birkaç dakika sürebilir.

Özel rolleri listeleme

Özel rollerinizi görüntülemek için bu adımları izleyin.

  1. Bir yönetim grubu, abonelik veya kaynak grubu açın ve ardından Erişim denetimi (IAM) öğesini açın.

  2. Tüm yerleşik ve özel rollerin listesini görmek için Roller sekmesine tıklayın.

  3. Tür listesinde CustomRole'ı seçerek yalnızca özel rollerinizi görün.

    Özel rolünüzü yeni oluşturduysanız ve listede görmüyorsanız Yenile'ye tıklayın.

    Custom role list

Özel rolü güncelleştirme

  1. Bu makalenin önceki bölümlerinde açıklandığı gibi özel roller listenizi açın.

  2. Güncelleştirmek istediğiniz özel rol için üç noktaya (...) ve ardından Düzenle'ye tıklayın. Yerleşik rolleri güncelleştiremeyeceğinizi unutmayın.

    Özel rol düzenleyicide açılır.

    Custom role menu

  3. Özel rolü güncelleştirmek için farklı sekmeleri kullanın.

  4. Değişikliklerinizi tamamladıktan sonra, değişikliklerinizi gözden geçirmek için Gözden Geçir + oluştur sekmesine tıklayın.

  5. Özel rolünüzü güncelleştirmek için Güncelleştir düğmesine tıklayın.

Özel rolü silme

  1. Özel rolü kullanan tüm rol atamalarını kaldırın. Daha fazla bilgi için bkz . Özel rolü silmek için rol atamalarını bulma.

  2. Bu makalenin önceki bölümlerinde açıklandığı gibi özel roller listenizi açın.

  3. Silmek istediğiniz özel rol için üç noktaya (...) ve ardından Sil'e tıklayın.

    Screenshot of a list of custom roles that can be selected for deletion.

    Özel rolünüzün tamamen silinmesi birkaç dakika sürebilir.

Sonraki adımlar