Azure CLI kullanarak Azure rolleri atama

Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına erişimi yönetmek için kullandığınız yetkilendirme sistemidir. Erişim vermek için kullanıcılara, gruplara, hizmet sorumlularına veya yönetilen kimliklere belirli kapsamda roller atamanız gerekir. Bu makalede Azure CLI kullanarak rollerin nasıl atandığı açıklanmaktadır.

Önkoşullar

Rolleri atamak için sahip olmanız gerekenler:

• Microsoft.Authorization/roleAssignments/writerol tabanlı erişim denetimi Yönetici istrator gibi izinler
• Azure Cloud Shell veya Azure CLI'de Bash

Azure rolü atama adımları

Rol atamak için üç öğeden oluşur: güvenlik sorumlusu, rol tanımı ve kapsam.

1. Adım: Kimlerin erişmesi gerektiğini belirleme

Kullanıcıya, gruba, hizmet sorumlusuna veya yönetilen kimliğe rol atayabilirsiniz. Rol atamak için nesnenin benzersiz kimliğini belirtmeniz gerekebilir. Kimlik şu biçimdedir: 11111111-1111-1111-1111-111111111111. Kimliği Azure portalını veya Azure CLI'yi kullanarak alabilirsiniz.

Kullanıcı

Microsoft Entra kullanıcısı için veya kullanıcı nesne kimliği gibi patlong@contoso.com kullanıcı asıl adını alın. Nesne kimliğini almak için az ad user show komutunu kullanabilirsiniz.

az ad user show --id "{principalName}" --query "id" --output tsv

Grup

Microsoft Entra grubu için grup nesnesi kimliğine ihtiyacınız vardır. Nesne kimliğini almak için az ad group show veya az ad group list kullanabilirsiniz.

az ad group show --group "{groupName}" --query "id" --output tsv

Hizmet sorumlusu

Bir Microsoft Entra hizmet sorumlusu (uygulama tarafından kullanılan kimlik) için hizmet sorumlusu nesne kimliğine ihtiyacınız vardır. Nesne kimliğini almak için az ad sp list komutunu kullanabilirsiniz. Hizmet sorumlusu için uygulama kimliğini değil nesne kimliğini kullanın.

az ad sp list --all --query "[].{displayName:displayName, id:id}" --output tsv
az ad sp list --display-name "{displayName}"

Yönetilen kimlik

Sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimlik için nesne kimliğine ihtiyacınız vardır. Nesne kimliğini almak için az ad sp list komutunu kullanabilirsiniz.

az ad sp list --all --filter "servicePrincipalType eq 'ManagedIdentity'"

Yalnızca kullanıcı tarafından atanan yönetilen kimlikleri listelemek için az identity list komutunu kullanabilirsiniz.

az identity list

2. Adım: Uygun rolü seçin

İzinler birlikte roller halinde gruplandırılır. Birkaç Azure yerleşik rolü listesinden seçim yapabilir veya kendi özel rollerinizi kullanabilirsiniz. Gerekli olan en az ayrıcalıkla erişim vermek en iyi yöntemdir, bu nedenle daha geniş bir rol atamaktan kaçının.

Rolleri listelemek ve benzersiz rol kimliğini almak için az role definition list komutunu kullanabilirsiniz.

az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv

Belirli bir rolün ayrıntılarını şöyle listeleyin.

az role definition list --name "{roleName}"

Daha fazla bilgi için bkz . Azure rol tanımlarını listeleme.

3. Adım: Gerekli kapsamı belirleme

Azure dört kapsam düzeyi sağlar: kaynak, kaynak grubu, abonelik ve yönetim grubu. Gereken en düşük ayrıcalıkla erişim vermek en iyi yöntemdir, bu nedenle daha geniş bir kapsamda rol atamaktan kaçının. Kapsam hakkında daha fazla bilgi için bkz . Kapsamı anlama.

Kaynak kapsamı

Kaynak kapsamı için kaynağın kaynak kimliğine ihtiyacınız vardır. Azure portalında kaynağın özelliklerine bakarak kaynak kimliğini bulabilirsiniz. Kaynak kimliği aşağıdaki biçime sahiptir.

/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{providerName}/{resourceType}/{resourceSubType}/{resourceName}

Kaynak grubu kapsamı

Kaynak grubu kapsamı için kaynak grubunun adına ihtiyacınız vardır. Adı Azure portalındaki Kaynak grupları sayfasında bulabilir veya az group list komutunu kullanabilirsiniz.

az group list --query "[].{name:name}" --output tsv

Abonelik kapsamı

Abonelik kapsamı için abonelik kimliğine ihtiyacınız vardır. Kimliği Azure portalındaki Abonelikler sayfasında bulabilir veya az account list komutunu kullanabilirsiniz.

az account list --query "[].{name:name, id:id}" --output tsv

Yönetim grubu kapsamı

Yönetim grubu kapsamı için yönetim grubu adına ihtiyacınız vardır. Adı Azure portalındaki Yönetim grupları sayfasında bulabilir veya az account management-group list komutunu kullanabilirsiniz.

az account management-group list --query "[].{name:name, id:id}" --output tsv

4. Adım: Rol atama

Rol atamak için az role assignment create komutunu kullanın. Kapsama bağlı olarak, komut genellikle aşağıdaki biçimlerden birine sahiptir.

Kaynak kapsamı

az role assignment create --assignee "{assignee}" \
--role "{roleNameOrId}" \
--scope "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{providerName}/{resourceType}/{resourceSubType}/{resourceName}"

Kaynak grubu kapsamı

az role assignment create --assignee "{assignee}" \
--role "{roleNameOrId}" \
--scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Abonelik kapsamı

az role assignment create --assignee "{assignee}" \
--role "{roleNameOrId}" \
--scope "/subscriptions/{subscriptionId}"

Yönetim grubu kapsamı

az role assignment create --assignee "{assignee}" \
--role "{roleNameOrId}" \
--scope "/providers/Microsoft.Management/managementGroups/{managementGroupName}"

Aşağıda, bir kaynak grubu kapsamındaki bir kullanıcıya Sanal Makine Katkıda Bulunanı rolünü atadığınızda çıktının bir örneği gösterilmektedir.

{
  "canDelegate": null,
  "id": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
  "name": "{roleAssignmentId}",
  "principalId": "{principalId}",
  "principalType": "User",
  "resourceGroup": "{resourceGroupName}",
  "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/9980e02c-c2be-4d73-94e8-173b1dc7cf3c",
  "scope": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}",
  "type": "Microsoft.Authorization/roleAssignments"
}

Rol örnekleri atama

Depolama hesabı kaynak kapsamındaki tüm blob kapsayıcıları için rol atama

storage12345 adlı bir depolama hesabının kaynak kapsamında nesne kimliği 55555555-5555-5555-5555-55555 olan bir hizmet sorumlusuna Depolama Blob Veri Katkıda Bulunanı rolünü atar.

az role assignment create --assignee "55555555-5555-5555-5555-555555555555" \
--role "Storage Blob Data Contributor" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/storage12345"

Belirli bir blob kapsayıcısı kaynak kapsamı için rol atama

blob-container-01 adlı blob kapsayıcısının kaynak kapsamındaki 555555555-5555-5555-5555-5555555 nesne kimliğine sahip bir hizmet sorumlusuna Depolama Blob Veri Katkıda Bulunanı rolünü atar.

az role assignment create --assignee "55555555-5555-5555-5555-555555555555" \
--role "Storage Blob Data Contributor" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/storage12345/blobServices/default/containers/blob-container-01"

Belirli bir sanal ağ kaynak kapsamındaki bir grup için rol atama

Sanal Makine Katkıda Bulunanı rolünü, pharma-sales-project-network adlı bir sanal ağın kaynak kapsamında 22222222-2222-2222-2222-2222-2222 kimlikli Ann Mack Ekip grubuna atar.

az role assignment create --assignee "22222222-2222-2222-2222-222222222222" \
--role "Virtual Machine Contributor" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/pharma-sales/providers/Microsoft.Network/virtualNetworks/pharma-sales-project-network"

Kaynak grubu kapsamında kullanıcıya rol atama

Pharma-sales kaynak grubu kapsamında kullanıcıya Sanal Makine Katkıda Bulunanı rolünü patlong@contoso.com atar.

az role assignment create --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/pharma-sales"

Kaynak grubu kapsamında benzersiz rol kimliğini kullanarak kullanıcıya rol atama

Rol adının değişebileceği birkaç durum vardır, örneğin:

• Kendi özel rolünüzü kullanıyorsunuz ve adı değiştirmeye karar verirsiniz.
• Adında (Önizleme) bulunan bir önizleme rolü kullanıyorsunuz. Rol serbest bırakıldığında, rol yeniden adlandırılır.

Bir rol yeniden adlandırılsa bile rol kimliği değişmez. Rol atamalarınızı oluşturmak için betikler veya otomasyon kullanıyorsanız, rol adı yerine benzersiz rol kimliğini kullanmak en iyi yöntemdir. Bu nedenle, bir rol yeniden adlandırılırsa betiklerinizin çalışma olasılığı daha yüksektir.

Aşağıdaki örnek, kullanıcıya pharma-sales kaynak grubu kapsamında Sanal Makine Katkıda Bulunanı rolünü patlong@contoso.com atar.

az role assignment create --assignee "patlong@contoso.com" \
--role "9980e02c-c2be-4d73-94e8-173b1dc7cf3c" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/pharma-sales"

Kaynak grubu kapsamındaki tüm blob kapsayıcıları için rol atama

Example-Depolama-rg kaynak grubu kapsamında nesne kimliği 55555555-5555-5555-555555555 olan bir hizmet sorumlusuna Depolama Blob Veri Katkıda Bulunanı rolünü atar.

az role assignment create --assignee "55555555-5555-5555-5555-555555555555" \
--role "Storage Blob Data Contributor" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Example-Storage-rg"

Kaynak grubu kapsamındaki bir uygulama için rol atama

Sanal Makine Katkıda Bulunanı rolünü, pharma-sales kaynak grubu kapsamında hizmet sorumlusu nesne kimliği 44444444-4444-4444-44444444 olan bir uygulamaya atar.

az role assignment create --assignee "44444444-4444-4444-4444-444444444444" \
--role "Virtual Machine Contributor" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/pharma-sales"

Kaynak grubu kapsamında yeni hizmet sorumlusu için rol atama

Yeni bir hizmet sorumlusu oluşturur ve bu hizmet sorumlusuna hemen bir rol atamayı denerseniz, bu rol ataması bazı durumlarda başarısız olabilir. Örneğin, yeni bir yönetilen kimlik oluşturmak için bir betik kullanır ve ardından bu hizmet sorumlusuna rol atamayı denerseniz rol ataması başarısız olabilir. Bu hatanın nedeni büyük olasılıkla bir çoğaltma gecikmesidir. Hizmet sorumlusu tek bir bölgede oluşturulur; ancak rol ataması, hizmet sorumlusunu henüz çoğaltmamış farklı bir bölgede gerçekleşebilir. Bu senaryoyu ele almak için rol atamasını oluştururken asıl türü belirtmeniz gerekir.

Rol atamak için az role assignment create komutunu kullanın, için --assignee-object-idbir değer belirtin ve olarak ayarlayın --assignee-principal-typeServicePrincipal.

az role assignment create --assignee-object-id "{assigneeObjectId}" \
--assignee-principal-type "{assigneePrincipalType}" \
--role "{roleNameOrId}" \
--scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"

Aşağıdaki örnek, pharma-sales kaynak grubu kapsamındaki msi-test yönetilen kimliğine Sanal Makine Katkıda Bulunanı rolünü atar:

az role assignment create --assignee-object-id "33333333-3333-3333-3333-333333333333" \
--assignee-principal-type "ServicePrincipal" \
--role "Virtual Machine Contributor" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/pharma-sales"

Abonelik kapsamında bir kullanıcı için rol atama

Okuyucu rolünü annm@example.com kullanıcıya abonelik kapsamında atar.

az role assignment create --assignee "annm@example.com" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Abonelik kapsamında bir grup için rol atama

Okuyucu rolünü, abonelik kapsamında 222222222-2222-2222-2222-22222222 kimlikli Ann Mack Team grubuna atar.

az role assignment create --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Abonelik kapsamındaki tüm blob kapsayıcıları için rol atama

Bir abonelik kapsamında kullanıcıya Depolama Blob Veri Okuyucusu rolünü alain@example.com atar.

az role assignment create --assignee "alain@example.com" \
--role "Storage Blob Data Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Yönetim grubu kapsamında kullanıcıya rol atama

Faturalama Okuyucusu rolünü alain@example.com kullanıcıya bir yönetim grubu kapsamında atar.

az role assignment create --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Sonraki adımlar

• Azure CLI kullanarak Azure rol atamalarını listeleme
• Azure kaynaklarını ve kaynak gruplarını yönetmek için Azure CLI'yi kullanma