Azure rol tanımlarını anlama

Makale
02/12/2024

Azure rolünün nasıl çalıştığını anlamaya çalışıyorsanız veya kendi Azure özel rolünüzü oluşturuyorsanız rollerin nasıl tanımlandığını anlamanız yararlı olur. Bu makalede rol tanımlarının ayrıntıları açıklanır ve bazı örnekler sağlanır.

Rol tanımı

Rol tanımı, izinlerden oluşan bir koleksiyondur. Bazen yalnızca rol olarak da adlandırılır. Rol tanımı okuma, yazma ve silme gibi gerçekleştirilebilecek eylemleri listeler. Ayrıca, temel alınan veriyle ilgili izin verilen eylemlerin veya eylemlerin dışında tutulan eylemleri de listeleyebilir.

Aşağıda, Azure PowerShell kullanılarak görüntülendiğinde rol tanımındaki özelliklerin bir örneği gösterilmektedir:

Name
Id
IsCustom
Description
Actions []
NotActions []
DataActions []
NotDataActions []
AssignableScopes []
Condition
ConditionVersion

Aşağıda, Azure CLI veya REST API kullanılarak görüntülendiğinde rol tanımındaki özelliklerin bir örneği gösterilmektedir:

roleName
name
id
roleType
type
description
actions []
notActions []
dataActions []
notDataActions []
assignableScopes []
condition
conditionVersion
createdOn
updatedOn
createdBy
updatedBy

Aşağıdaki tabloda rol özelliklerinin anlamı açıklanmaktadır.

Özellik	Açıklama
`Name` `roleName`	Rolün görünen adı.
`Id` `name`	Rolün benzersiz kimliği. Yerleşik roller, bulutlar arasında aynı rol kimliğine sahiptir.
`id`	Rolün tam benzersiz kimliği.
`IsCustom` `roleType`	Bu rolün özel bir rol olup olmadığını gösterir. Özel roller için `true` veya `CustomRole` olarak ayarlayın. `false` Yerleşik roller için veya `BuiltInRole` olarak ayarlayın.
`type`	Nesne türü. `Microsoft.Authorization/roleDefinitions` olarak ayarlayın.
`Description` `description`	Rolün açıklaması.
`Actions` `actions`	Rolün gerçekleştirilmeye izin verdiği denetim düzlemi eylemlerini belirten dize dizisi.
`NotActions` `notActions`	İzin verilen `Actions`dışında tutulan denetim düzlemi eylemlerini belirten dize dizisi.
`DataActions` `dataActions`	Rolün bu nesnedeki verilerinize gerçekleştirilmesini sağladığı veri düzlemi eylemlerini belirten dize dizisi.
`NotDataActions` `notDataActions`	İzin verilen `DataActions`dışında tutulan veri düzlemi eylemlerini belirten dize dizisi.
`AssignableScopes` `assignableScopes`	Rolün atama için kullanılabilir olduğu kapsamları belirten dize dizisi.
`Condition` `condition`	Yerleşik roller için, rol tanımındaki bir veya daha fazla eyleme dayalı koşul deyimi.
`ConditionVersion` `conditionVersion`	Koşul sürüm numarası. Varsayılan olarak 2.0'dır ve desteklenen tek sürümdür.
`createdOn`	Tarih ve saat rolü oluşturuldu.
`updatedOn`	Tarih ve saat rolü son güncelleştirildi.
`createdBy`	Özel roller için, rol oluşturan sorumlu.
`updatedBy`	Özel roller için, rolü güncelleştiren sorumlu.

Eylemler biçimi

Eylemler aşağıdaki biçime sahip dizelerle belirtilir:

{Company}.{ProviderName}/{resourceType}/{action}

Eylem {action} dizesinin bölümü, kaynak türünde gerçekleştirebileceğiniz eylemlerin türünü belirtir. Örneğin, içinde {action}aşağıdaki alt dizeleri görürsünüz:

Eylem alt dizesi	Açıklama
`*`	Joker karakter, dizeyle eşleşen tüm eylemlere erişim verir.
`read`	Okuma eylemlerini (GET) etkinleştirir.
`write`	Yazma eylemlerini (PUT veya PATCH) etkinleştirir.
`action`	Sanal makineleri yeniden başlatma (POST) gibi özel eylemleri etkinleştirir.
`delete`	Silme eylemlerini (DELETE) etkinleştirir.

Rol tanımı örneği

Azure PowerShell ve Azure CLI'da gösterildiği gibi Katkıda Bulunan rol tanımı aşağıda verilmiştir. altındaki Actions joker karakter (*) eylemleri, bu role atanan sorumlunun tüm eylemleri gerçekleştirebileceğini veya başka bir deyişle her şeyi yönetebileceğini gösterir. Bu, Azure yeni kaynak türleri ekledikçe gelecekte tanımlanacak eylemleri de içerir. altındaki NotActions eylemler uygulamasından Actionsçıkarılır. Katkıda Bulunan rolü söz konusu olduğunda, NotActions bu rolün kaynaklara erişimi yönetme ve Azure Blueprints atamalarını yönetme yeteneğini kaldırır.

Azure PowerShell'de görüntülenen katkıda bulunan rolü:

{
  "Name": "Contributor",
  "Id": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "IsCustom": false,
  "Description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
  "Actions": [
    "*"
  ],
  "NotActions": [
    "Microsoft.Authorization/*/Delete",
    "Microsoft.Authorization/*/Write",
    "Microsoft.Authorization/elevateAccess/Action",
    "Microsoft.Blueprint/blueprintAssignments/write",
    "Microsoft.Blueprint/blueprintAssignments/delete",
    "Microsoft.Compute/galleries/share/action",
    "Microsoft.Purview/consents/write",
    "Microsoft.Purview/consents/delete"
  ],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/"
  ],
  "Condition": null,
  "ConditionVersion": null
}

Azure CLI'da görüntülenen katkıda bulunan rolü:

[
  {
    "assignableScopes": [
      "/"
    ],
    "createdBy": null,
    "createdOn": "2015-02-02T21:55:09.880642+00:00",
    "description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
    "name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
    "permissions": [
      {
        "actions": [
          "*"
        ],
        "condition": null,
        "conditionVersion": null,
        "dataActions": [],
        "notActions": [
          "Microsoft.Authorization/*/Delete",
          "Microsoft.Authorization/*/Write",
          "Microsoft.Authorization/elevateAccess/Action",
          "Microsoft.Blueprint/blueprintAssignments/write",
          "Microsoft.Blueprint/blueprintAssignments/delete",
          "Microsoft.Compute/galleries/share/action",
          "Microsoft.Purview/consents/write",
          "Microsoft.Purview/consents/delete"
        ],
        "notDataActions": []
      }
    ],
    "roleName": "Contributor",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions",
    "updatedBy": null,
    "updatedOn": "2023-07-10T15:10:53.947865+00:00"
  }
]

Denetim ve veri eylemleri

Denetim düzlemi eylemleri için rol tabanlı erişim denetimi, rol tanımının Actions ve NotActions özelliklerinde belirtilir. Azure'daki denetim düzlemi eylemlerine bazı örnekler aşağıda verilmiştir:

Depolama hesabına erişimi yönetme
Blob kapsayıcısı oluşturma, güncelleştirme veya silme
Kaynak grubunu ve tüm kaynaklarını silme

Kapsayıcı kimlik doğrulama yönteminin Erişim Anahtarı değil Azure AD Kullanıcı Hesabı olarak ayarlanması koşuluyla, denetim düzlemi erişimi veri düzleminize devralınmıyor. Bu ayrım, joker karakterleri (*) olan rollerin verilerinize sınırsız erişime sahip olmasını engeller. Örneğin, bir kullanıcının abonelikte Okuyucu rolü varsa depolama hesabını görüntüleyebilir, ancak varsayılan olarak temel alınan verileri görüntüleyemez.

Daha önce rol tabanlı erişim denetimi veri eylemleri için kullanılmıyordu. Kaynak sağlayıcıları arasında değişen veri eylemleri için yetkilendirme. Denetim düzlemi eylemleri için kullanılan rol tabanlı erişim denetimi yetkilendirme modeli, veri düzlemi eylemlerine genişletildi.

Veri düzlemi eylemlerini desteklemek için rol tanımına yeni veri özellikleri eklendi. Veri düzlemi eylemleri ve NotDataActions özelliklerinde DataActions belirtilir. Bu veri özellikleri eklendiğinde, denetim düzlemi ile veri düzlemi arasındaki ayrım korunur. Ayrıca joker karakter (*) içeren geçerli rol atamalarının aniden verilere erişim almasını da önler. ve içinde DataActionsNotDataActionsbelirtilebilen bazı veri düzlemi eylemleri şunlardır:

Kapsayıcıdaki blobların listesini okuma
Kapsayıcıda depolama blobu yazma
Kuyruktaki iletiyi silme

Hem hem de özelliklerindeki eylemleri içeren Depolama Blob Veri Okuyucusu rol tanımı aşağıdadırActions.DataActions Bu rol, blob kapsayıcısını ve temel alınan blob verilerini okumanızı sağlar.

Azure PowerShell'de gösterildiği gibi Blob Veri Okuyucusu rolünü Depolama:

{
  "Name": "Storage Blob Data Reader",
  "Id": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
  "IsCustom": false,
  "Description": "Allows for read access to Azure Storage blob containers and data",
  "Actions": [
    "Microsoft.Storage/storageAccounts/blobServices/containers/read",
    "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
  ],
  "NotActions": [],
  "DataActions": [
    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
  ],
  "NotDataActions": [],
  "AssignableScopes": [
    "/"
  ],
  "Condition": null,
  "ConditionVersion": null
}

Azure CLI'da gösterildiği gibi Blob Veri Okuyucusu rolünü Depolama:

[
  {
    "assignableScopes": [
      "/"
    ],
    "createdBy": null,
    "createdOn": "2017-12-21T00:01:24.797231+00:00",
    "description": "Allows for read access to Azure Storage blob containers and data",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
    "name": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
    "permissions": [
      {
        "actions": [
          "Microsoft.Storage/storageAccounts/blobServices/containers/read",
          "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
        ],
        "condition": null,
        "conditionVersion": null,
        "dataActions": [
          "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
        ],
        "notActions": [],
        "notDataActions": []
      }
    ],
    "roleName": "Storage Blob Data Reader",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions",
    "updatedBy": null,
    "updatedOn": "2021-11-11T20:13:55.297507+00:00"
  }
]

ve NotDataActions özelliklerine yalnızca veri düzlemi DataActions eylemleri eklenebilir. Kaynak sağlayıcıları, özelliğini trueolarak ayarlayarak hangi eylemlerin isDataAction veri eylemleri olduğunu belirler. olan isDataActiontrueeylemlerin listesini görmek için bkz . Kaynak sağlayıcısı işlemleri. Veri eylemleri olmayan rollerin rol tanımında ve NotDataActions özellikleri olması DataActions gerekmez.

Tüm denetim düzlemi API çağrıları için yetkilendirme, Azure Resource Manager tarafından işlenir. Veri düzlemi API çağrıları için yetkilendirme, bir kaynak sağlayıcısı veya Azure Resource Manager tarafından işlenir.

Veri eylemleri örneği

Denetim düzlemi ve veri düzlemi eylemlerinin nasıl çalıştığını daha iyi anlamak için belirli bir örneği ele alalım. Alice'e abonelik kapsamında Sahip rolü atanmıştır. Bob'a depolama hesabı kapsamında Depolama Blob Veri Katkıda Bulunanı rolü atanmıştır. Aşağıdaki diyagramda bu örnek gösterilmektedir.

Role-based access control has been extended to support both control plane and data plane actions

Alice için Sahip rolü ve Bob için Depolama Blob Verileri Katkıda Bulunanı rolü aşağıdaki eylemlere sahiptir:

Sahip

Eylemler
*

Depolama Blobu Veri Katılımcısı

    Eylemler
    Microsoft.Storage/storageAccounts/blobServices/containers/delete
    Microsoft.Storage/storageAccounts/blobServices/containers/read
    Microsoft.Storage/storageAccounts/blobServices/containers/write
    Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
    DataActions
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action

Alice'in abonelik kapsamında joker karakter (*) eylemi olduğundan, tüm denetim düzlemi eylemlerini gerçekleştirmelerini sağlamak için izinleri devralır. Alice kapsayıcıları okuyabilir, yazabilir ve silebilir. Ancak, Alice ek adımlar atmadan veri düzlemi eylemleri gerçekleştiremez. Örneğin, Alice varsayılan olarak kapsayıcı içindeki blobları okuyamaz. Blobları okumak için Alice'in depolama erişim anahtarlarını alması ve bloblara erişmek için bunları kullanması gerekir.

Bob'un izinleri yalnızca Actions Depolama Blob Veri Katkıda Bulunanı rolünde belirtilen ve DataActions ile sınırlıdır. Rol temelinde Bob hem denetim düzlemi hem de veri düzlemi eylemleri gerçekleştirebilir. Örneğin, Bob belirtilen depolama hesabında kapsayıcıları okuyabilir, yazabilir ve silebilir ve blobları okuyabilir, yazabilir ve silebilir.

Depolama için denetim ve veri düzlemi güvenliği hakkında daha fazla bilgi için bkz. Azure Depolama güvenlik kılavuzu.

Veri eylemleri için Azure rollerini kullanmayı destekleyen araçlar hangileridir?

Veri eylemlerini görüntülemek ve bunlarla çalışmak için araçların veya SDK'ların doğru sürümlerine sahip olmanız gerekir:

Araç	Sürüm
Azure PowerShell	1.1.0 veya üzeri
Azure CLI	2.0.30 veya üzeri
.NET için Azure	2.8.0-önizleme veya üzeri
Go için Azure SDK	15.0.0 veya üzeri
Java için Azure	1.9.0 veya üzeri
Python için Azure	0.40.0 veya üzeri
Ruby için Azure SDK	0.17.1 veya üzeri

REST API'deki veri eylemlerini görüntülemek ve kullanmak için api-version parametresini aşağıdaki sürüme veya sonraki bir sürüme ayarlamanız gerekir:

2018-07-01

Eylemler

İzin, Actions rolün gerçekleştirilmeye izin verdiği denetim düzlemi eylemlerini belirtir. Azure kaynak sağlayıcılarının güvenli hale getirilebilir eylemlerini tanımlayan dizelerden oluşan bir koleksiyondur. burada, içinde kullanılabilecek denetim düzlemi eylemlerine bazı örnekler verilmiştir Actions.

Eylem dizesi	Açıklama
`*/read`	Tüm Azure kaynak sağlayıcılarının tüm kaynak türleri için okuma eylemlerine erişim verir.
`Microsoft.Compute/*`	Microsoft.Compute kaynak sağlayıcısındaki tüm kaynak türleri için tüm eylemlere erişim verir.
`Microsoft.Network/*/read`	Microsoft.Network kaynak sağlayıcısındaki tüm kaynak türleri için okuma eylemlerine erişim verir.
`Microsoft.Compute/virtualMachines/*`	Sanal makinelerin ve alt kaynak türlerinin tüm eylemlerine erişim verir.
`microsoft.web/sites/restart/Action`	Bir web uygulamasını yeniden başlatmak için erişim verir.

NotActions

İzin, NotActions joker karakteri (* ) olan izin Actions verilenden çıkarılan veya dışlanan denetim düzlemi eylemlerini belirtir. NotActions İzin vermek istediğiniz eylem kümesinin joker karakteri (* içeren) Actions çıkarılarak daha kolay tanımlanıyorsa, izni kullanın. Bir rol tarafından verilen erişim (etkin izinler), eylemler eylemlerden Actions çıkarılarak NotActions hesaplanır.

Actions - NotActions = Effective control plane permissions

Aşağıdaki tabloda, Bir Microsoft.CostManagement joker karakteri eylemi için etkili denetim düzlemi izinlerinin iki örneği gösterilmektedir:

Eylemler	NotActions	Etkili kontrol düzlemi izinleri
`Microsoft.CostManagement/exports/*`	none	`Microsoft.CostManagement/exports/action` `Microsoft.CostManagement/exports/read` `Microsoft.CostManagement/exports/write` `Microsoft.CostManagement/exports/delete` `Microsoft.CostManagement/exports/run/action`
`Microsoft.CostManagement/exports/*`	`Microsoft.CostManagement/exports/delete`	`Microsoft.CostManagement/exports/action` `Microsoft.CostManagement/exports/read` `Microsoft.CostManagement/exports/write` `Microsoft.CostManagement/exports/run/action`

Not

Kullanıcıya içinde NotActionsbir eylemi dışlayan bir rol atanırsa ve aynı eyleme erişim veren ikinci bir rol atanırsa, kullanıcının bu eylemi gerçekleştirmesine izin verilir. NotActions reddetme kuralı değildir; belirli eylemlerin dışlanması gerektiğinde bir dizi izin verilen eylem oluşturmanın kolay bir yoludur.

NotActions ve reddetme atamaları arasındaki farklar

NotActions ve reddetme atamaları aynı değildir ve farklı amaçlara hizmet eder. NotActions bir joker karakter (*) eyleminden belirli eylemleri çıkarmanın kullanışlı bir yoludur.

Atamaları reddetme, bir rol ataması erişim izni verse bile kullanıcıların belirli eylemleri gerçekleştirmesini engeller. Daha fazla bilgi için bkz . Azure reddetme atamalarını anlama.

DataActions

İzin, DataActions rolün bu nesnedeki verilerinize gerçekleştirilmesini sağladığı veri düzlemi eylemlerini belirtir. Örneğin, bir kullanıcının bir depolama hesabına okuma blobu verileri erişimi varsa bu depolama hesabındaki blobları okuyabilir. burada, içinde kullanılabilecek veri eylemlerinin bazı örnekleri verilmiştir DataActions.

Veri eylem dizesi	Açıklama
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`	Bir blob veya blob listesi döndürür.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`	Blob yazmanın sonucunu döndürür.
`Microsoft.Storage/storageAccounts/queueServices/queues/messages/read`	bir ileti döndürür.
`Microsoft.Storage/storageAccounts/queueServices/queues/messages/*`	İletiyi veya iletinin yazilmesinin veya silinmesinin sonucunu döndürür.

NotDataActions

İzin, NotDataActions joker karakteri (*) olan izin verilenden DataActions çıkarılan veya dışlanan veri düzlemi eylemlerini belirtir. NotDataActions İzin vermek istediğiniz eylem kümesinin joker karakteri (* içeren) DataActions çıkarılarak daha kolay tanımlanıyorsa, izni kullanın. Bir rol tarafından verilen erişim (etkin izinler), eylemler eylemlerden DataActions çıkarılarak NotDataActions hesaplanır. Her kaynak sağlayıcısı, veri eylemlerini gerçekleştirmek için ilgili API kümesini sağlar.

DataActions - NotDataActions = Effective data plane permissions

Aşağıdaki tabloda, Bir Microsoft.Depolama joker karakteri eylemi için geçerli tarih düzlemi izinlerinin iki örneği gösterilmektedir:

DataActions	NotDataActions	Etkin veri düzlemi izinleri
`Microsoft.Storage/storageAccounts/queueServices/queues/messages/*`	none	`Microsoft.Storage/storageAccounts/queueServices/queues/messages/read` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`
`Microsoft.Storage/storageAccounts/queueServices/queues/messages/*`	`Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete`	`Microsoft.Storage/storageAccounts/queueServices/queues/messages/read` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`

Not

Kullanıcıya içinde bir veri eylemini dışlayan bir rol atanırsa ve aynı veri eylemine NotDataActionserişim veren ikinci bir rol atanırsa, kullanıcının bu veri eylemini gerçekleştirmesine izin verilir. NotDataActions reddetme kuralı değildir; belirli veri eylemlerinin dışlanması gerektiğinde izin verilen veri eylemleri kümesi oluşturmanın kolay bir yoludur.

AssignableScopes

AssignableScopes özelliği, rol tanımının atanabileceği kapsamları (kök, yönetim grubu, abonelikler veya kaynak grupları) belirtir. Özel bir rolü yalnızca bunu gerektiren yönetim grubunda, aboneliklerde veya kaynak gruplarında atama için kullanılabilir hale getirebilirsiniz. En az bir yönetim grubu, abonelik veya kaynak grubu kullanmanız gerekir.

Örneğin, bir aboneliğe ayarlanırsa AssignableScopes , bu, özel rolün belirtilen abonelik için abonelik kapsamında, abonelikteki herhangi bir kaynak grubu için kaynak grubu kapsamında veya abonelikteki herhangi bir kaynak için kaynak kapsamında atanabilir olduğu anlamına gelir.

Yerleşik roller AssignableScopes kök kapsama ("/" olarak ayarlanmıştır). Kök kapsam, rolün tüm kapsamlarda atama için kullanılabilir olduğunu gösterir.

Geçerli atanabilir kapsamlara örnek olarak şunlar verilebilir:

Rol atama için kullanılabilir	Örnek
Bir abonelik	`"/subscriptions/{subscriptionId1}"`
İki abonelik	`"/subscriptions/{subscriptionId1}", "/subscriptions/{subscriptionId2}"`
Ağ kaynak grubu	`"/subscriptions/{subscriptionId1}/resourceGroups/Network"`
Bir yönetim grubu	`"/providers/Microsoft.Management/managementGroups/{groupId1}"`
Yönetim grubu ve abonelik	`"/providers/Microsoft.Management/managementGroups/{groupId1}", "/subscriptions/{subscriptionId1}",`
Tüm kapsamlar (yalnızca yerleşik roller için geçerlidir)	`"/"`

Özel rolün AssignableScopes özelliğinde tek bir yönetim grubu tanımlayabilirsiniz.

komut satırını kullanarak içinde bir kaynak örneğiyle özel bir rol oluşturmak mümkün olsa da AssignableScopes önerilmez. Her kiracı en fazla 5.000 özel rolü destekler. Bu stratejiyi kullanmak, kullanılabilir özel rollerinizi tüketebilir. Sonuç olarak, erişim düzeyi özel rol ataması (kapsam + rol izinleri + güvenlik sorumlusu) tarafından belirlenir ve özel rolde listelenmez AssignableScopes . Bu nedenle, yönetim grubu, abonelik veya kaynak grubu ile AssignableScopes özel rollerinizi oluşturun, ancak özel rolleri kaynak veya kaynak grubu gibi dar bir kapsamla atayın.

Özel roller hakkında AssignableScopes daha fazla bilgi için bkz . Azure özel rolleri.

Ayrıcalıklı yönetici rolü tanımı

Ayrıcalıklı yönetici rolleri, Azure kaynaklarını yönetme veya diğer kullanıcılara rol atama gibi ayrıcalıklı yönetici erişimi veren rollerdir. Yerleşik veya özel bir rol aşağıdaki eylemlerden herhangi birini içeriyorsa, ayrıcalıklı olarak kabul edilir. Daha fazla bilgi için bkz . Ayrıcalıklı yönetici rolü atamalarını listeleme veya yönetme.

Eylem dizesi	Açıklama
`*`	Her türden kaynağı oluşturun ve yönetin.
`*/delete`	Tüm türlerdeki kaynakları silin.
`*/write`	Tüm türlerdeki kaynakları yazın.
`Microsoft.Authorization/denyAssignments/delete`	Belirtilen kapsamdaki reddetme atamasını silin.
`Microsoft.Authorization/denyAssignments/write`	Belirtilen kapsamda bir reddetme ataması oluşturun.
`Microsoft.Authorization/roleAssignments/delete`	Belirtilen kapsamdaki bir rol atamasını silin.
`Microsoft.Authorization/roleAssignments/write`	Belirtilen kapsamda bir rol ataması oluşturun.
`Microsoft.Authorization/roleDefinitions/delete`	Belirtilen özel rol tanımını silin.
`Microsoft.Authorization/roleDefinitions/write`	Belirtilen izinlere ve atanabilir kapsamlara sahip özel bir rol tanımı oluşturun veya güncelleştirin.