你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft.Authorization roleAssignments
Bicep 资源定义
roleAssignments 资源类型是 扩展资源,这意味着你可以将其应用于其他资源。
scope使用此资源上的 属性可设置此资源的范围。 请参阅 在 Bicep 中设置扩展资源的范围。
roleAssignments 资源的有效部署范围包括:
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
注解
有关创建角色分配和定义的指南,请参阅 使用 Bicep 创建 Azure RBAC 资源。
资源格式
若要创建 Microsoft.Authorization/roleAssignments 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
name: 'string'
scope: resourceSymbolicName or tenant()
properties: {
condition: 'string'
conditionVersion: 'string'
delegatedManagedIdentityResourceId: 'string'
description: 'string'
principalId: 'string'
principalType: 'string'
roleDefinitionId: 'string'
}
}
属性值
roleAssignments
| 名称 | 说明 | 值 |
|---|---|---|
| name | 资源名称 | 字符串 (必需) 字符限制:36 有效字符: 必须为全局唯一标识符 (GUID)。 资源名称在租户中必须是唯一的。 |
| scope | 在与部署范围不同的范围创建扩展资源时使用 。 | 目标资源 对于 Bicep,请将此属性设置为资源的符号名称以应用 扩展资源。 此资源类型也可以应用于租户。 对于 Bicep,请使用 tenant()。 |
| properties | 角色分配属性。 | RoleAssignmentProperties (必需) |
RoleAssignmentProperties
| 名称 | 说明 | 值 |
|---|---|---|
| condition | 角色分配的条件。 这会限制可分配给的资源。例如: @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | 字符串 |
| conditionVersion | 条件的版本。 目前唯一接受的值为“2.0” | 字符串 |
| delegatedManagedIdentityResourceId | 委托的托管标识资源的 ID | string |
| description | 角色分配的说明 | string |
| principalId | 主体 ID。 | 字符串 (必需) |
| principalType | 分配的主体 ID 的主体类型。 | “设备” “ForeignGroup” “组” “ServicePrincipal” “User” |
| roleDefinitionId | 角色定义 ID。 | 字符串 (必需) |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 说明 |
|---|---|
部署 Darktrace 自动缩放 vSensors |
此模板允许部署 Darktrace vSensors 的自动缩放部署 |
| BrowserBox Azure Edition |
此模板在 Azure Ubuntu Server 22.04 LTS、Debian 11 或 RHEL 8.7 LVM VM 上部署 BrowserBox。 |
| Hazelcast 群集 |
Hazelcast 是一个内存中数据平台,可用于各种数据应用程序。 此模板将部署任意数量的 Hazelcast 节点,它们将自动发现彼此。 |
| IBM Cloud Pak for Data on Azure |
此模板使用所有必需的资源、基础结构在 Azure 上部署 Openshift 群集,然后部署 IBM Cloud Pak for Data 以及用户选择的加载项。 |
| min.io Azure 网关 |
完全专用 min.io Azure 网关部署,以提供由 Blob 存储支持的 S3 兼容存储 API |
| 为 SAP ILM 存储部署存储帐户 |
Microsoft Azure 存储 帐户现可用作 ILM 存储,以保留 SAP ILM 系统中的存档文件和附件。 ILM 存储是满足 SAP ILM 兼容存储系统要求的组件。 可以使用 WebDAV 接口标准将存档文件存储在存储媒体中,同时使用 SAP ILM 保留管理规则。 有关 SAP ILM 存储的详细信息,请参阅 SAP 帮助门户 。 |
| 创建 WordPress 站点 |
此模板在容器实例上创建 WordPress 站点 |
| 具有 NAT 网关和应用程序网关的 AKS 群集 |
此示例演示如何使用 NAT 网关部署 AKS 群集进行出站连接,为入站连接部署应用程序网关。 |
| Azure Cloud Shell - VNet |
此模板将 Azure Cloud Shell 资源部署到 Azure 虚拟网络中。 |
| 使用 Azure Windows 基线的 Azure 映像生成器 |
创建 Azure 映像生成器环境,并生成应用了最新 Windows 汇报和 Azure Windows 基线的 Windows Server 映像。 |
| 创建具有公共 DNS 区域的专用 AKS 群集 |
此示例演示如何部署具有公共 DNS 区域的专用 AKS 群集。 |
| 在 Azure 上部署体育分析体系结构 |
创建启用了 ADLS Gen 2 的 Azure 存储帐户,创建一个Azure 数据工厂实例,其中包含存储帐户的链接服务 (Azure SQL数据库(如果已部署) ),以及一个 Azure Databricks 实例。 将为部署模板的用户的 AAD 标识和 ADF 实例的托管标识授予存储帐户上的存储 Blob 数据参与者角色。 还有一些选项可用于部署 Azure 密钥保管库 实例、Azure SQL数据库和 Azure 事件中心 (,用于流式处理用例) 。 部署 Azure 密钥保管库时,将为部署模板的用户授予数据工厂托管标识和 AAD 标识密钥保管库机密用户角色。 |
| 从 ZIP 存档 URL 导入 VHD Blob |
部署基于专用磁盘映像的虚拟机需要将 VHD 文件导入存储帐户。 如果有多个 VHD 文件压缩在单个 ZIP 中,并且你获得用于提取 ZIP 存档的 URL,则此 ARM 模板将简化作业:下载、提取和导入到现有存储帐户 Blob 容器中。 |
| 创建用户分配的托管标识和角色分配 |
此模块允许创建用户分配的托管标识和范围限定为资源组的角色分配。 |
| 从 KeyVault 使用 SSL 创建API 管理服务 |
此模板部署使用用户分配的标识配置的API 管理服务。 它使用此标识从 KeyVault 提取 SSL 证书,并通过每 4 小时检查一次来保持更新。 |
| 使用注册表创建容器应用和环境 |
使用Azure 容器注册表的基本容器应用创建容器应用环境。 它还部署 Log Analytics 工作区来存储日志。 |
| 使用容器应用创建 Dapr pub-sub servicebus 应用 |
使用容器应用创建 Dapr pub-sub servicebus 应用。 |
| 部署简单的 Azure Spring Apps 微服务应用程序 |
此模板部署一个简单的 Azure Spring Apps 微服务应用程序,以在 Azure 上运行。 |
| RBAC - 为资源组中的多个现有 VM 授予内置角色访问权限 |
此模板授予对资源组中多个现有 VM 的适用基于角色的访问权限 |
| 将 RBAC 角色分配给资源组 |
此模板为现有资源组分配所有者、读者或参与者访问权限。 |
| RBAC - 现有 VM |
此模板授予对资源组中现有 VM 的适用基于角色的访问权限 |
| RBAC - 在 Azure Maps 帐户上创建托管标识访问 |
此模板创建托管标识,并向其分配对创建的 Azure Maps 帐户的访问权限。 |
| 为 Azure 业务连续性项创建警报规则 |
此模板创建警报规则和用户分配的 MSI。 它还向 MSI 读取者分配对订阅的访问权限,以便警报规则有权查询所需的受保护项和最新的恢复点详细信息。 |
| 具有静态网站源的 Front Door 标准版/高级版 |
此模板创建 Front Door 标准版/高级版和 Azure 存储静态网站,并将 Front Door 配置为将流量发送到静态网站。 |
| 使用 MSI 部署 Linux 或 Windows VM |
此模板允许使用托管服务标识部署 Linux 或 Windows VM。 |
| Azure 上的 Terraform |
此模板允许将 Terraform 工作站部署为具有 MSI 的 Linux VM。 |
| 创建具有持久性存储的按需 SFTP 服务器 |
此模板演示使用 Azure 容器实例 (ACI) 的按需 SFTP 服务器。 |
| 创建新的 Datadog 组织 |
此模板创建一个新的 Datadog - 一个 Azure 本机 ISV 服务资源和一个 Datadog 组织,用于监视订阅中的资源。 |
| 创建磁盘 & 通过备份保管库启用保护 |
创建磁盘并通过备份保管库启用保护的模板 |
| 创建存储帐户 & 通过备份保管库启用保护 |
用于创建存储帐户并通过备份保管库启用保护的模板 |
| 从存储帐户创建数据共享 |
此模板从存储帐户创建数据共享 |
| 使用内置映像部署 Dev Box 服务 |
此模板提供了一种使用内置映像部署 Dev Box 服务的方法。 |
| 配置 Dev Box 服务 |
此模板将按照 Dev Box 快速入门指南创建所有 Dev Box 管理员资源。 可以查看创建的所有资源,也可以直接转到 DevPortal.microsoft.com 创建第一个 Dev Box。 |
| 具有函数和专用链接服务的 Azure 数字孪生 |
此模板创建一个 Azure 数字孪生服务,该服务配置有虚拟网络连接的 Azure 函数,该函数可以通过专用链接终结点与数字孪生进行通信。 它还创建专用 DNS区域,允许数字孪生终结点从虚拟网络到专用终结点内部子网 IP 地址的主机名无缝解析。 主机名作为设置存储到名为“ADT_ENDPOINT”的 Azure 函数。 |
| 具有时间数据历史记录连接的 Azure 数字孪生 |
此模板创建配置了时序数据历史记录连接的 Azure 数字孪生实例。 若要创建连接,必须创建其他资源,例如事件中心命名空间、事件中心、Azure 数据资源管理器群集和数据库。 数据将发送到事件中心,该事件中心最终将数据转发到 Azure 数据资源管理器 群集。 数据存储在群集的数据库表中 |
| 部署 MedTech 服务 |
MedTech 服务是 Azure Health Data Services 之一,旨在从多个设备引入设备数据,将设备数据转换为 FHIR 观察值,然后保留在 Azure Health Data Services FHIR 服务中。 |
| 部署 MedTech 服务,包括Azure IoT 中心 |
MedTech 服务是 Azure Health Data Services 之一,旨在从多个设备引入设备数据,将设备数据转换为 FHIR 观察值,然后保留在 Azure Health Data Services FHIR 服务中。 |
| 使用 RBAC 和机密创建 Azure 密钥保管库 |
此模板创建 Azure 密钥保管库和机密。 它不依赖于访问策略,而是利用 Azure RBAC 来管理机密上的授权 |
| 创建密钥保管库、托管标识和角色分配 |
此模板创建密钥保管库、托管标识和角色分配。 |
| 使用 Helm (AKS) 的 Azure 容器服务 |
使用 Helm 使用 Azure 容器服务 (AKS) 部署托管群集 |
| 使用 Cosmos DB 连接部署 Azure 数据资源管理器 DB |
使用 Cosmos DB 连接部署 Azure 数据资源管理器 DB。 |
| 使用事件中心连接部署 Azure 数据资源管理器 数据库 |
使用事件中心连接部署 Azure 数据资源管理器 数据库。 |
| 用户分配的标识角色分配模板 |
一个模板,用于在 Azure 机器学习工作区所依赖的资源上创建用户分配标识的角色分配 |
| 创建存储在 Azure 密钥保管库中的Azure Maps SAS 令牌 |
此模板部署和Azure Maps帐户,并根据提供的要存储在 Azure 密钥保管库机密中的用户分配标识列出 Sas 令牌。 |
| 具有 应用程序网关 入口控制器的 AKS 群集 |
此示例演示如何使用 应用程序网关、应用程序网关 入口控制器、Azure 容器注册表、Log Analytics 和 密钥保管库 部署 AKS 群集 |
| 在中心 & 辐射型拓扑中使用 Azure 防火墙 作为 DNS 代理 |
此示例演示如何使用 Azure 防火墙 在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当与通过虚拟网络对等互连连接到中心虚拟网络的许多辐射虚拟网络的中心连接点。 |
| 通过 ACR 任务生成容器映像 |
此模板使用 DeploymentScript 协调 ACR,以从代码存储库生成容器映像。 |
| 将容器映像导入 ACR |
此模板利用 bicep 注册表中的导入 ACR 模块将公共容器映像导入Azure 容器注册表。 |
| 使用证书创建应用程序网关 |
此模板演示如何生成密钥保管库自签名证书,然后从应用程序网关引用。 |
| 在 KeyVault 中创建 ssh 密钥和存储 |
此模板使用 deploymentScript 资源生成 ssh 密钥,并将私钥存储在 keyVault 中。 |
| 将审核写入 Blob 存储的Azure SQL服务器 |
此模板允许部署启用了审核的Azure SQL服务器,以便将审核日志写入 Blob 存储 |
| 部署静态网站 |
部署具有后备存储帐户的静态网站 |
| Azure Synapse概念证明 |
此模板为Azure Synapse创建概念证明环境,包括 SQL 池和可选的 Apache Spark 池 |
| 具有事件中心和托管标识的 Azure 函数应用 |
他的模板在 Linux 消耗计划上预配 Azure 函数应用,以及事件中心、Azure 存储和 Application Insights。 函数应用能够使用托管标识连接到事件中心和存储帐户 |
| 具有托管标识、SQL Server和 ΑΙ 的 Web 应用 |
为应用 + 数据 + 托管标识 + 监视部署 Azure 基础结构的简单示例 |
| 创建 Azure Native New Relic 资源 |
此模板设置“Azure Native New Relic 服务”来监视 Azure 订阅中的资源。 |
| 创建 resourceGroup,应用锁和 RBAC |
此模板是一个订阅级模板,它将创建 resourceGroup,对 resourceGroup 应用锁,并将参与者特性分配给提供的 principalId。 目前,无法通过 Azure 门户部署此模板。 |
| 创建 Azure 虚拟网络管理器和示例 VNET |
此模板将 Azure 虚拟网络 管理器和示例虚拟网络部署到命名资源组中。 它支持多种连接拓扑和网络组成员身份类型。 |
| 在订阅范围分配角色 |
此模板是一个订阅级模板,它将在订阅范围内分配角色。 |
| 在租户范围分配角色 |
此模板是一个租户级模板,它将在租户范围内向提供的主体分配角色。 部署模板的用户必须在租户范围内分配有所有者角色。 |
ARM 模板资源定义
roleAssignments 资源类型是 扩展资源,这意味着你可以将其应用于其他资源。
scope使用此资源上的 属性可设置此资源的范围。 请参阅 在 ARM 模板中设置扩展资源的范围。
roleAssignments 资源的有效部署范围包括:
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
注解
有关创建角色分配和定义的指南,请参阅 使用 Bicep 创建 Azure RBAC 资源。
资源格式
若要创建 Microsoft.Authorization/roleAssignments 资源,请将以下 JSON 添加到模板。
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2022-04-01",
"name": "string",
"scope": "string" or "/",
"properties": {
"condition": "string",
"conditionVersion": "string",
"delegatedManagedIdentityResourceId": "string",
"description": "string",
"principalId": "string",
"principalType": "string",
"roleDefinitionId": "string"
}
}
属性值
roleAssignments
| 名称 | 说明 | Value |
|---|---|---|
| type | 资源类型 | “Microsoft.Authorization/roleAssignments” |
| apiVersion | 资源 API 版本 | '2022-04-01' |
| name | 资源名称 | 字符串 (必需) 字符限制:36 有效字符: 必须为全局唯一标识符 (GUID)。 资源名称在租户中必须是唯一的。 |
| scope | 在与部署范围不同的范围创建扩展资源时使用 。 | 目标资源 对于 JSON,请将值设置为要向其应用 扩展资源 的资源的全名。 此资源类型也可以应用于租户。 对于 JSON,请使用 "/"。 |
| properties | 角色分配属性。 | RoleAssignmentProperties (必需) |
RoleAssignmentProperties
| 名称 | 说明 | 值 |
|---|---|---|
| condition | 角色分配的条件。 这会限制可分配给的资源。例如: @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | string |
| conditionVersion | 条件的版本。 目前唯一接受的值为“2.0” | 字符串 |
| delegatedManagedIdentityResourceId | 委托的托管标识资源的 ID | 字符串 |
| description | 角色分配的说明 | 字符串 |
| principalId | 主体 ID。 | 字符串 (必需) |
| principalType | 分配的主体 ID 的主体类型。 | “设备” “ForeignGroup” “组” “ServicePrincipal” “User” |
| roleDefinitionId | 角色定义 ID。 | 字符串 (必需) |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 说明 |
|---|---|
| 部署 Darktrace 自动缩放 vSensors |
此模板允许部署 Darktrace vSensors 的自动缩放部署 |
| BrowserBox Azure Edition |
此模板在 Azure Ubuntu Server 22.04 LTS、Debian 11 或 RHEL 8.7 LVM VM 上部署 BrowserBox。 |
| Hazelcast 群集 |
Hazelcast 是一个内存中数据平台,可用于各种数据应用程序。 此模板将部署任意数量的 Hazelcast 节点,它们将自动发现彼此。 |
| IBM Cloud Pak for Data on Azure |
此模板使用所有必需的资源、基础结构在 Azure 上部署 Openshift 群集,然后部署 IBM Cloud Pak for Data 以及用户选择的加载项。 |
| min.io Azure 网关 |
完全专用 min.io Azure 网关部署,以提供由 Blob 存储支持的 S3 兼容存储 API |
| 为 SAP ILM 存储部署存储帐户 |
Microsoft Azure 存储 帐户现可用作 ILM 存储,以保留 SAP ILM 系统中的存档文件和附件。 ILM 存储是满足 SAP ILM 兼容存储系统要求的组件。 可以使用 WebDAV 接口标准将存档文件存储在存储媒体中,同时使用 SAP ILM 保留管理规则。 有关 SAP ILM 存储的详细信息,请参阅 SAP 帮助门户 。 |
| 创建 WordPress 站点 |
此模板在容器实例上创建 WordPress 站点 |
| 具有 NAT 网关和应用程序网关的 AKS 群集 |
此示例演示如何使用 NAT 网关部署 AKS 群集进行出站连接,为入站连接部署应用程序网关。 |
| Azure Cloud Shell - VNet |
此模板将 Azure Cloud Shell资源部署到 Azure 虚拟网络中。 |
| 使用 Azure Windows 基线的 Azure 映像生成器 |
创建 Azure 映像生成器环境并生成应用了最新 Windows 汇报和 Azure Windows 基线的 Windows Server 映像。 |
| 创建具有公共 DNS 区域的专用 AKS 群集 |
此示例演示如何部署具有公共 DNS 区域的专用 AKS 群集。 |
| 在 Azure 体系结构上部署体育分析 |
创建启用了 ADLS Gen 2 的 Azure 存储帐户、具有存储帐户链接服务的Azure 数据工厂实例 (Azure SQL数据库(如果部署) )和 Azure Databricks 实例。 部署模板的用户的 AAD 标识和 ADF 实例的托管标识将被授予存储帐户上的存储 Blob 数据参与者角色。 还有一些选项可用于部署 Azure 密钥保管库 实例、Azure SQL数据库和 Azure 事件中心 (,用于流式处理用例) 。 部署 Azure 密钥保管库时,将为部署模板的用户授予数据工厂托管标识和 AAD 标识密钥保管库机密用户角色。 |
| 从 ZIP 存档 URL 导入 VHD Blob |
部署基于专用磁盘映像的虚拟机需要将 VHD 文件导入存储帐户。 如果有多个 VHD 文件压缩在单个 ZIP 中,并且你获得用于提取 ZIP 存档的 URL,则此 ARM 模板将简化作业:下载、提取和导入到现有存储帐户 Blob 容器中。 |
| 创建用户分配的托管标识和角色分配 |
此模块允许创建用户分配的托管标识和范围限定为资源组的角色分配。 |
| 从 KeyVault 使用 SSL 创建API 管理服务 |
此模板部署使用用户分配的标识配置的API 管理服务。 它使用此标识从 KeyVault 提取 SSL 证书,并通过每 4 小时检查一次来保持更新。 |
| 使用注册表创建容器应用和环境 |
使用Azure 容器注册表的基本容器应用创建容器应用环境。 它还部署 Log Analytics 工作区来存储日志。 |
| 使用容器应用创建 Dapr pub-sub servicebus 应用 |
使用容器应用创建 Dapr pub-sub servicebus 应用。 |
| 部署简单的 Azure Spring Apps 微服务应用程序 |
此模板部署一个简单的 Azure Spring Apps 微服务应用程序,以在 Azure 上运行。 |
| RBAC - 为资源组中的多个现有 VM 授予内置角色访问权限 |
此模板授予对资源组中多个现有 VM 的适用基于角色的访问权限 |
| 将 RBAC 角色分配给资源组 |
此模板为现有资源组分配所有者、读者或参与者访问权限。 |
| RBAC - 现有 VM |
此模板授予对资源组中现有 VM 的适用基于角色的访问权限 |
| RBAC - 在 Azure Maps 帐户上创建托管标识访问 |
此模板创建托管标识,并向其分配对创建的 Azure Maps 帐户的访问权限。 |
| 为 Azure 业务连续性项创建警报规则 |
此模板创建警报规则和用户分配的 MSI。 它还向 MSI 读取者分配对订阅的访问权限,以便警报规则有权查询所需的受保护项和最新的恢复点详细信息。 |
| 具有静态网站源的 Front Door 标准版/高级版 |
此模板创建 Front Door 标准版/高级版和 Azure 存储静态网站,并将 Front Door 配置为将流量发送到静态网站。 |
| 使用 MSI 部署 Linux 或 Windows VM |
此模板允许使用托管服务标识部署 Linux 或 Windows VM。 |
| Azure 上的 Terraform |
此模板允许将 Terraform 工作站部署为具有 MSI 的 Linux VM。 |
| 创建具有持久性存储的按需 SFTP 服务器 |
此模板演示使用 Azure 容器实例 (ACI) 的按需 SFTP 服务器。 |
| 创建新的 Datadog 组织 |
此模板创建一个新的 Datadog - 一个 Azure 本机 ISV 服务资源和一个 Datadog 组织,用于监视订阅中的资源。 |
| 创建磁盘 & 通过备份保管库启用保护 |
创建磁盘并通过备份保管库启用保护的模板 |
| 创建存储帐户 & 通过备份保管库启用保护 |
用于创建存储帐户并通过备份保管库启用保护的模板 |
| 从存储帐户创建数据共享 |
此模板从存储帐户创建数据共享 |
| 使用内置映像部署 Dev Box 服务 |
此模板提供了一种使用内置映像部署 Dev Box 服务的方法。 |
| 配置 Dev Box 服务 |
此模板将按照 Dev Box 快速入门指南创建所有 Dev Box 管理员资源。 可以查看创建的所有资源,也可以直接转到 DevPortal.microsoft.com 创建第一个 Dev Box。 |
| 具有函数和专用链接服务的 Azure 数字孪生 |
此模板创建一个 Azure 数字孪生服务,该服务配置有虚拟网络连接的 Azure 函数,该函数可以通过专用链接终结点与数字孪生进行通信。 它还创建专用 DNS区域,允许数字孪生终结点从虚拟网络到专用终结点内部子网 IP 地址的主机名无缝解析。 主机名作为设置存储到名为“ADT_ENDPOINT”的 Azure 函数。 |
| 具有时间数据历史记录连接的 Azure 数字孪生 |
此模板创建配置了时序数据历史记录连接的 Azure 数字孪生实例。 若要创建连接,必须创建其他资源,例如事件中心命名空间、事件中心、Azure 数据资源管理器群集和数据库。 数据将发送到事件中心,该事件中心最终将数据转发到 Azure 数据资源管理器 群集。 数据存储在群集的数据库表中 |
| 部署 MedTech 服务 |
MedTech 服务是 Azure 运行状况数据服务之一,旨在从多个设备引入设备数据,将设备数据转换为 FHIR 观察,然后将其持久保存在 Azure Health Data Services FHIR 服务中。 |
| 部署 MedTech 服务,包括Azure IoT 中心 |
MedTech 服务是 Azure 运行状况数据服务之一,旨在从多个设备引入设备数据,将设备数据转换为 FHIR 观察,然后将其持久保存在 Azure Health Data Services FHIR 服务中。 |
| 使用 RBAC 和机密创建 Azure 密钥保管库 |
此模板创建 Azure 密钥保管库和机密。 它不依赖于访问策略,而是利用 Azure RBAC 来管理机密授权 |
| 创建密钥保管库、托管标识和角色分配 |
此模板创建密钥保管库、托管标识和角色分配。 |
| 使用 Helm (AKS) 的 Azure 容器服务 |
使用 Helm 通过 Azure 容器服务 (AKS) 部署托管群集 |
| 使用 Cosmos DB 连接部署 Azure 数据资源管理器 DB |
使用 Cosmos DB 连接部署 Azure 数据资源管理器 DB。 |
| 使用事件中心连接部署 Azure 数据资源管理器 db |
使用事件中心连接部署 Azure 数据资源管理器 db。 |
| 用户分配的标识角色分配模板 |
一个模板,用于在 Azure 机器学习工作区所依赖的资源上创建用户分配标识的角色分配 |
| 创建存储在 Azure 密钥保管库 中的Azure Maps SAS 令牌 |
此模板部署和Azure Maps帐户,并根据提供的要存储在 Azure 密钥保管库机密中的用户分配标识列出 Sas 令牌。 |
| 具有 应用程序网关 入口控制器的 AKS 群集 |
此示例演示如何使用 应用程序网关、应用程序网关 入口控制器、Azure 容器注册表、Log Analytics 和 密钥保管库 部署 AKS 群集 |
| 将 Azure 防火墙 用作中心 & 分支拓扑中的 DNS 代理 |
此示例演示如何使用 Azure 防火墙 在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多分支虚拟网络的中心点。 |
| 通过 ACR 任务生成容器映像 |
此模板使用 DeploymentScript 来协调 ACR,以便从代码存储库生成容器映像。 |
| 将容器映像导入 ACR |
此模板利用从 bicep 注册表导入 ACR 模块将公共容器映像导入Azure 容器注册表。 |
| 使用证书创建应用程序网关 |
此模板演示如何生成密钥保管库自签名证书,然后从应用程序网关引用。 |
| 创建 ssh 密钥并将其存储在 KeyVault 中 |
此模板使用 deploymentScript 资源生成 ssh 密钥,并将私钥存储在 keyVault 中。 |
| 将审核写入 Blob 存储的Azure SQL服务器 |
此模板允许部署启用了审核的 Azure SQL 服务器,以便将审核日志写入 Blob 存储 |
| 部署静态网站 |
使用支持存储帐户部署静态网站 |
| Azure Synapse概念证明 |
此模板为Azure Synapse创建概念证明环境,包括 SQL 池和可选的 Apache Spark 池 |
| 具有事件中心和托管标识的 Azure 函数应用 |
他的模板在 Linux 消耗计划上预配 Azure 函数应用,以及事件中心、Azure 存储和 Application Insights。 函数应用能够使用托管标识连接到事件中心和存储帐户 |
| 具有托管标识、SQL Server和 ΑΙ 的 Web 应用 |
为应用 + 数据 + 托管标识 + 监视部署 Azure 基础结构的简单示例 |
| 创建 Azure 本机 New Relic 资源 |
此模板设置“Azure 本机 New Relic 服务”来监视 Azure 订阅中的资源。 |
| 创建 resourceGroup,应用锁和 RBAC |
此模板是订阅级模板,它将创建 resourceGroup,对 resourceGroup 应用锁,并将参与者 permssion 分配给提供的 principalId。 目前,无法通过 Azure 门户部署此模板。 |
| 创建 Azure 虚拟网络管理器和示例 VNET |
此模板将 Azure 虚拟网络 Manager 和示例虚拟网络部署到命名资源组中。 它支持多种连接拓扑和网络组成员身份类型。 |
| 在订阅范围分配角色 |
此模板是在订阅范围内分配角色的订阅级别模板。 |
| 在租户范围分配角色 |
此模板是一个租户级模板,它将在租户范围内向提供的主体分配角色。 部署模板的用户必须已在租户范围内分配有所有者角色。 |
Terraform (AzAPI 提供程序) 资源定义
roleAssignments 资源类型是 扩展资源,这意味着你可以将其应用于另一个资源。
parent_id使用此资源上的 属性可设置此资源的作用域。
roleAssignments 资源的有效部署范围包括:
- 资源组
- 订阅
- 管理组
- 租户
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.Authorization/roleAssignments 资源,请将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Authorization/roleAssignments@2022-04-01"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
condition = "string"
conditionVersion = "string"
delegatedManagedIdentityResourceId = "string"
description = "string"
principalId = "string"
principalType = "string"
roleDefinitionId = "string"
}
})
}
属性值
roleAssignments
| 名称 | 说明 | Value |
|---|---|---|
| type | 资源类型 | “Microsoft.Authorization/roleAssignments@2022-04-01” |
| name | 资源名称 | 字符串 (必需) 字符限制:36 有效字符: 必须为全局唯一标识符 (GUID)。 资源名称在租户中必须是唯一的。 |
| parent_id | 要应用此扩展资源的资源的 ID。 | 字符串 (必需) |
| properties | 角色分配属性。 | RoleAssignmentProperties (必需) |
RoleAssignmentProperties
| 名称 | 说明 | 值 |
|---|---|---|
| condition | 角色分配的条件。 这会限制可以分配到的资源。例如: @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | 字符串 |
| conditionVersion | 条件的版本。 目前唯一接受的值为“2.0” | 字符串 |
| delegatedManagedIdentityResourceId | 委托的托管标识资源的 ID | 字符串 |
| description | 角色分配的说明 | 字符串 |
| principalId | 主体 ID。 | 字符串 (必需) |
| principalType | 分配的主体 ID 的主体类型。 | “设备” “ForeignGroup” “Group” “ServicePrincipal” “User” |
| roleDefinitionId | 角色定义 ID。 | 字符串 (必需) |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈