Aracılığıyla paylaş

New-AzRoleDefinition

  • Başvuru
Modül:
Az.Resources

Azure RBAC'de özel bir rol oluşturur. Giriş olarak bir JSON rol tanımı dosyası veya PSRoleDefinition nesnesi sağlayın. İlk olarak, temel rol tanımı nesnesi oluşturmak için Get-AzRoleDefinition komutunu kullanın. Ardından, özelliklerini gerektiği gibi değiştirin. Son olarak, rol tanımını kullanarak özel bir rol oluşturmak için bu komutu kullanın.

Sözdizimi

New-AzRoleDefinition
   [-InputFile] <String>
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleDefinition
   [-Role] <PSRoleDefinition>
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

New-AzRoleDefinition cmdlet'i, Azure Rol Tabanlı Erişim Denetimi'nde özel bir rol oluşturur. JSON dosyası veya PSRoleDefinition nesnesi olarak komutuna giriş olarak rol tanımı sağlayın. Giriş rolü tanımı aşağıdaki özellikleri içermelidir:

  1. DisplayName: Özel rolün adı
  2. Açıklama: rolün, rolün iznini özetleyen kısa bir açıklaması.
  3. Eylemler: Özel rolün erişim iznini aldığı işlem kümesi. Azure RBAC kullanılarak güvenli hale getirilebilen Azure kaynak sağlayıcılarının işlemini almak için Get-AzProviderOperation komutunu kullanın. Bazı geçerli işlem dizeleri aşağıdadır:
  • "*/read" tüm Azure kaynak sağlayıcılarının okuma işlemlerine erişim verir.
  • "Microsoft.Network/*/read", Azure'ın Microsoft.Network kaynak sağlayıcısındaki tüm kaynak türleri için okuma işlemlerine erişim verir.
  • "Microsoft.Compute/virtualMachines/*" sanal makinelerin ve alt kaynak türlerinin tüm işlemlerine erişim verir.
  1. AssignableScopes: Özel rolün atanabilecekleri kapsam kümesi (Azure abonelikleri veya kaynak grupları). AssignableScopes kullanarak, özel rolü yalnızca buna ihtiyaç duyan aboneliklerde veya kaynak gruplarında atama için kullanılabilir hale getirebilirsiniz; diğer abonelikler veya kaynak grupları için kullanıcı deneyimini karmaşık hale getiremezsiniz. Bazı geçerli atanabilir kapsamlar aşağıdadır:
  • "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e", "/subscriptions/e91d47c4-76f3-4271-a796-21b4ecfe3624": rolü iki abonelikte atama için kullanılabilir hale getirir.
  • "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e": rolü tek bir abonelikte atama için kullanılabilir hale getirir.
  • "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e/resourceGroups/Network": rolü yalnızca Ağ kaynak grubunda atama için kullanılabilir hale getirir. Giriş rolü tanımı aşağıdaki özellikleri içerebilir:
  1. NotActions: Özel rolün etkili eylemlerini belirlemek için Eylemler'den dışlanması gereken işlem kümesi. Özel bir rolde erişim vermek istemediğiniz belirli bir işlem varsa, Eylemler'de bu işlem dışındaki tüm işlemleri belirtmek yerine NotActions'ı dışlamak için kullanmak uygundur.
  2. DataActions: Özel rolün erişim iznini aldığı veri işlemleri kümesi.
  3. NotDataActions: Özel rolün etkili veri eylemlerini belirlemek için DataActions'ın dışında tutulması gereken işlem kümesi. Özel bir rolde erişim vermek istemediğiniz belirli bir veri işlemi varsa, Eylemler'de söz konusu işlem dışındaki tüm işlemleri belirtmek yerine NotDataActions'ı dışlamak için kullanmak uygundur. NOT: Kullanıcıya NotActions'ta bir işlemi belirten bir rol atanırsa ve başka bir rol de aynı işleme erişim izni verirse, kullanıcı bu işlemi gerçekleştirebilir. NotActions bir reddetme kuralı değildir; belirli işlemlerin dışlanması gerektiğinde izin verilen bir dizi işlem oluşturmanın kolay bir yoludur. { "Ad": "Güncelleştirilmiş Rol", "Açıklama": "Tüm kaynakları izleyebilir ve sanal makineleri başlatıp yeniden başlatabilir", "Actions": [ "/read", "Microsoft.ClassicCompute/virtualmachines/restart/action", "Microsoft.ClassicCompute/virtualmachines/start/action" ], "NotActions": [ "/write" ], "DataActions": [ "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read" ], "NotDataActions": [ "Microsoft. Storage/storageAccounts/blobServices/containers/blobs/write" ], "AssignableScopes": ["/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxx"] }

Örnekler

Örnek 1: PSRoleDefinitionObject kullanarak oluşturma

$role = New-Object -TypeName Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition 
$role.Name = 'Virtual Machine Operator'
$role.Description = 'Can monitor, start, and restart virtual machines.'
$role.IsCustom = $true
$role.AssignableScopes = @("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx")
$role.Actions = @(
    "Microsoft.Compute/*/read"
    "Microsoft.Compute/virtualMachines/start/action"
    "Microsoft.Compute/virtualMachines/restart/action"
    "Microsoft.Compute/virtualMachines/downloadRemoteDesktopConnectionFile/action"
    "Microsoft.Network/*/read"
    "Microsoft.Storage/*/read"
    "Microsoft.Authorization/*/read"
    "Microsoft.Resources/subscriptions/resourceGroups/read"
    "Microsoft.Resources/subscriptions/resourceGroups/resources/read"
    "Microsoft.Insights/alertRules/*"
    "Microsoft.Support/*"
)

New-AzRoleDefinition -Role $role

Örnek 2: JSON dosyası kullanarak oluşturma

New-AzRoleDefinition -InputFile C:\Temp\roleDefinition.json

Parametreler

-DefaultProfile

Azure ile iletişim için kullanılan kimlik bilgileri, hesap, kiracı ve abonelik

Tür:IAzureContextContainer
Diğer adlar:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Gerekli:False
İşlem hattı girişini kabul et:False
Joker karakterleri kabul et:False

-InputFile

Tek bir json rol tanımı içeren dosya adı.

Tür:String
Position:0
Default value:None
Gerekli:True
İşlem hattı girişini kabul et:False
Joker karakterleri kabul et:False

-Role

Rol tanımı nesnesi.

Tür:PSRoleDefinition
Position:0
Default value:None
Gerekli:True
İşlem hattı girişini kabul et:False
Joker karakterleri kabul et:False

-SkipClientSideScopeValidation

Belirtilirse, istemci tarafı kapsam doğrulamayı atlayın.

Tür:SwitchParameter
Position:Named
Default value:None
Gerekli:False
İşlem hattı girişini kabul et:False
Joker karakterleri kabul et:False

Girişler

None

Çıkışlar

PSRoleDefinition

Notlar

Anahtar sözcükler: azure, azurerm, arm, kaynak, yönetim, yönetici, kaynak, grup, şablon, dağıtım