你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
New-AzRoleDefinition
在 Azure RBAC 中创建自定义角色。 提供 JSON 角色定义文件或 PSRoleDefinition 对象作为输入。 首先,使用 Get-AzRoleDefinition 命令生成基线角色定义对象。 然后,根据需要修改其属性。 最后,使用此命令使用角色定义创建自定义角色。
语法
New-AzRoleDefinition
[-InputFile] <String>
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleDefinition
[-Role] <PSRoleDefinition>
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] 说明
New-AzRoleDefinition cmdlet 在 Azure 基于角色的访问控制中创建自定义角色。 将角色定义作为命令的输入作为 JSON 文件或 PSRoleDefinition 对象提供。 输入角色定义必须包含以下属性:
- DisplayName:自定义角色的名称
- 说明:总结角色授予的访问权限的角色的简短说明。
- 操作:自定义角色向其授予访问权限的操作集。 使用 Get-AzProviderOperation 获取可以使用 Azure RBAC 保护的 Azure 资源提供程序的操作。 下面是一些有效的操作字符串:
- “*/read”授予对所有 Azure 资源提供程序读取操作的访问权限。
- “Microsoft.Network/*/read”授予对 Azure Microsoft.Network 资源提供程序中所有资源类型的读取操作的访问权限。
- “Microsoft.Compute/virtualMachines/*”授予对虚拟机及其子资源类型的所有操作的访问权限。
- AssignableScopes:可在其中分配自定义角色的作用域(Azure 订阅或资源组)集。 使用 AssignableScopes,可以让自定义角色仅在需要它的订阅或资源组中分配,并且不会使其余订阅或资源组的用户体验混乱。 下面是一些有效的可分配范围:
- “/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e”, “/subscriptions/e91d47c4-76f3-4271-a796-21b4ecfe3624”:使角色可用于在两个订阅中分配。
- “/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e”:使角色可用于在单个订阅中分配。
- “/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e/resourceGroups/Network”:使角色仅适用于网络资源组中的分配。 输入角色定义 MAY 包含以下属性:
- NotActions:必须从操作中排除的操作集,以确定自定义角色的有效操作。 如果某个特定操作不希望在自定义角色中授予访问权限,则使用 NotActions 将其排除是很方便的,而不是在操作中指定除该特定操作以外的所有操作。
- DataActions:自定义角色向其授予访问权限的数据操作集。
- NotDataActions:必须从 DataActions 中排除的操作集,以确定自定义角色的有效数据操作。 如果某个特定数据操作不希望在自定义角色中授予访问权限,则使用 NotDataActions 排除该操作会很方便,而不是在 Actions 中指定除该特定操作以外的所有操作。 注意:如果用户分配了一个角色,该角色指定 NotActions 中的操作,并且还分配了另一个角色授予对同一操作的访问权限,则用户将能够执行该操作。 NotActions 不是拒绝规则 - 在需要排除特定操作时创建一组允许的操作只是一种便捷的方法。 下面是一个示例 json 角色定义,可以作为输入 { “Name”: “Updated Role”, “Description”: “Can monitor all resources and start and restart virtual machines”, “Actions”: [ “/read”, “Microsoft.ClassicCompute/virtualmachines/restart/action”, “Microsoft.ClassicCompute/virtualmachines/start/action” ], “NotActions”: [ “/write” ], “DataActions”: [ “Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read” ], “NotDataActions”: [ “Microsoft。Storage/storageAccounts/blobServices/containers/blobs/write“ ], ”AssignableScopes“: [”/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxxx“] }
示例
示例 1:使用 PSRoleDefinitionObject 创建
$role = New-Object -TypeName Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition
$role.Name = 'Virtual Machine Operator'
$role.Description = 'Can monitor, start, and restart virtual machines.'
$role.IsCustom = $true
$role.AssignableScopes = @("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx")
$role.Actions = @(
"Microsoft.Compute/*/read"
"Microsoft.Compute/virtualMachines/start/action"
"Microsoft.Compute/virtualMachines/restart/action"
"Microsoft.Compute/virtualMachines/downloadRemoteDesktopConnectionFile/action"
"Microsoft.Network/*/read"
"Microsoft.Storage/*/read"
"Microsoft.Authorization/*/read"
"Microsoft.Resources/subscriptions/resourceGroups/read"
"Microsoft.Resources/subscriptions/resourceGroups/resources/read"
"Microsoft.Insights/alertRules/*"
"Microsoft.Support/*"
)
New-AzRoleDefinition -Role $role示例 2:使用 JSON 文件创建
New-AzRoleDefinition -InputFile C:\Temp\roleDefinition.json参数
-DefaultProfile
用于与 azure 通信的凭据、帐户、租户和订阅
| 类型: | IAzureContextContainer |
| 别名: | AzContext, AzureRmContext, AzureCredential |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-InputFile
包含单个 json 角色定义的文件名。
| 类型: | String |
| Position: | 0 |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | False |
| 接受通配符: | False |
-Role
角色定义对象。
| 类型: | PSRoleDefinition |
| Position: | 0 |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | False |
| 接受通配符: | False |
-SkipClientSideScopeValidation
如果指定,请跳过客户端范围验证。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
输入
None
输出
备注
关键字:azure, azurerm, arm, 资源, 管理, 经理, 资源组, 模板, 部署