Hizmet sorumlusu rollerini yönetme
Azure kaynaklarınıza erişimi kısıtlamak için rol atamalarını yönetmek için bir hizmet sorumlusu kullanabilirsiniz. Her rol, Azure kaynaklarına erişirken kullanıcının izin verdiği farklı izinler sağlar. Öğreticideki bu adımda hizmet sorumlusu rollerinin nasıl oluşturulacağı ve kaldırılacağı açıklanmaktadır.
Azure CLI rol atamalarını yönetmek için aşağıdaki komutlara sahiptir:
Rol ataması oluşturma veya kaldırma
Katkıda Bulunan rolü, bir Azure hesabını okumak ve bu hesaba yazmak için tam izinlere sahiptir. Okuyucu rolü salt okunur erişimle daha kısıtlayıcıdır. Her zaman en az ayrıcalık ilkesini kullanın. Azure RBAC'deki kullanılabilir rollerin tam listesi için bkz . Azure yerleşik rolleri.
Bir rol eklendiğinde, önceden atanmış izinler kısıtlanmaz. Bu örnek Okuyucu rolünü ekler ve Katkıda Bulunan rolünü kaldırır:
az role assignment create --assignee myServicePrincipalID \
--role Reader \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
az role assignment delete --assignee myServicePrincipalID \
--role Contributor \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
Çıkış Konsolu:
{
"condition": null,
"conditionVersion": null,
"createdBy": null,
"createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
"delegatedManagedIdentityResourceId": null,
"description": null,
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
"name": "00000000-0000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-0000-000000000000",
"principalType": "ServicePrincipal",
"roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
"type": "Microsoft.Authorization/roleAssignments",
"updatedBy": "00000000-0000-0000-0000-000000000000",
"updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}
Kapsam parametresi için değer alma
"Parametre değerini Nasıl yaparım? biliyor --scope musunuz?" sorusunu sorabilirsiniz. Yanıt, hizmet sorumlunuzun erişmesi gereken Azure kaynağının Kaynak Kimliğini bulmak ve kopyalamaktır. Bu bilgiler genellikle her kaynağın Azure portalının Özellikler veya Uç Noktalar sayfasında bulunur. Burada yaygın --scope örnekler verilmiştir, ancak gerçek bir biçim ve değer için Kaynak Kimliğinize güvenebilirsiniz.
| Scope | Örnek |
|---|---|
| Abonelik | /subscriptions/mySubscriptionID |
| Kaynak grubu | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName |
| Sanal makine | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Compute/virtualMachines/myVMname |
| hesap dosya hizmetini Depolama | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Storage/storageAccounts/myStorageAccountName/fileServices/default |
| Veri fabrikası | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.DataFactory/factories/myDataFactoryName |
Diğer kapsam örnekleri için bkz . Azure RBAC kapsamını anlama.
Değişiklikleri doğrulama
Atanan roller listelenerek değişiklikler doğrulanabilir:
# list all role assignments for the current subscription
az role assignment list ---output table
# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com
# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID
Ayrıca Azure portalına gidebilir ve rolü Erişim denetimi (IAM) menüsünden hizmet sorumlusuna el ile atayabilirsiniz. Rol atamalarını listeleme hakkında daha fazla örnek için bkz . Azure CLI kullanarak Azure rol atamalarını listeleme.
Sonraki Adımlar
Hizmet sorumlusu rollerinizi yönetmeyi öğrendiğinize göre, bir sonraki adıma geçin ve kaynak oluşturmak için hizmet sorumlularını kullanmayı öğrenin.