使用 Azure 入口網站建立或更新 Azure 自訂角色 (機器翻譯)

  • 發行項

如果 Azure 內建角色無法滿足您組織的特定需求,您可以建立自己的 Azure 自訂角色。 就像內建角色一樣,您可以將自訂角色指派給管理群組、訂用帳戶和資源群組範圍的使用者、群組和服務主體。 自訂角色是存放在 Azure Active Directory (Azure AD) 目錄中,而且可以跨訂用帳戶共用。 每個目錄最多可以有 5000 個自訂角色。 您可以使用 Azure 入口網站、Azure PowerShell、Azure CLI 或 REST API 來建立自訂角色。 本文說明如何在 Azure 入口網站中建立自訂角色。

必要條件

若要建立自訂角色,您需要:

步驟 1:判斷您所需的權限

Azure 有數千個可包含在自訂角色中的權限。 以下是一些方法,可協助您判斷要新增至自訂角色的權限:

步驟 2:選擇開始方式

有三種方式可讓您開始建立自訂角色。 您可以複製現有的角色、從頭開始或從 JSON 檔案開始。 最簡單的方法是尋找具有大部分所需權限的現有角色,然後複製並針對您的情況加以修改。

複製角色

如果現有角色沒有您需要的權限,您可以將其複製,然後修改權限。 請遵循下列步驟來開始複製角色。

  1. 在Azure 入口網站中,開啟您想要指派自訂角色的管理群組、訂用帳戶或資源群組,然後開啟存取控制 (IAM)

    下列螢幕擷取畫面顯示為訂用帳戶開啟的 [存取控制 (IAM)] 頁面。

    訂用帳戶的存取控制 (IAM) 頁面

  2. 按一下 [角色] 索引標籤以查看所有內建與自訂角色清單。

  3. 搜尋您想要複製的角色,例如「帳單讀者」角色。

  4. 按一下資料列末端的省略符號 ( ... ),然後按一下 [複製]。

    複製捷徑功能表

    這會開啟自訂角色編輯器,其中已選取 [複製角色] 選項。

  5. 繼續進行步驟 3:基本資料

從頭開始

如果您想要的話,您可以依照下列步驟從頭開始自訂角色。

  1. 在Azure 入口網站中,開啟您想要指派自訂角色的管理群組、訂用帳戶或資源群組,然後開啟存取控制 (IAM)

  2. 按一下 [新增],然後按一下 [新增自訂角色]。

    顯示 [新增自訂角色] 功能表的螢幕擷取畫面。

    這會開啟自訂角色編輯器,其中已選取 [從頭開始] 選項。

  3. 繼續進行步驟 3:基本資料

從 JSON 開始

如果您想要的話,您可以在 JSON 檔案中指定大部分的自訂角色值。 您可以在自訂角色編輯器中開啟檔案、進行其他變更,然後建立自訂角色。 請遵循下列步驟來開始使用 JSON 檔案。

  1. 建立具有下列格式的 JSON 檔案:

    {
    "properties": {
        "roleName": "",
        "description": "",
        "assignableScopes": [],
        "permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

  2. 在 JSON 檔案中,指定各種屬性的值。 以下是一些新增值的範例。 如需不同屬性的相關資訊,請參閱了解 Azure 角色定義

    {
    "properties": {
        "roleName": "Billing Reader Plus",
        "description": "Read billing data and download invoices",
        "assignableScopes": [
            "/subscriptions/11111111-1111-1111-1111-111111111111"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Billing/*/read",
                    "Microsoft.Commerce/*/read",
                    "Microsoft.Consumption/*/read",
                    "Microsoft.Management/managementGroups/read",
                    "Microsoft.CostManagement/*/read",
                    "Microsoft.Support/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

  3. 在 Azure 入口網站中,中開啟 [存取控制 (IAM)] 頁面。

  4. 按一下 [新增],然後按一下 [新增自訂角色]。

    顯示 [新增自訂角色] 功能表的螢幕擷取畫面。

    這會開啟自訂角色編輯器。

  5. 在 [基本] 索引標籤的 [基準權限]中,選取 [從 JSON 開始]。

  6. 在 [選取檔案] 方塊旁,按一下資料夾按鈕以開啟 [開啟] 對話方塊。

  7. 選取 JSON 檔案,然後按一下 [開啟]。

  8. 繼續進行步驟 3:基本資料

步驟 3:基本資料

在 [基本] 索引標籤上,您可以指定自訂角色的名稱、描述和基準權限。

  1. 在 [自訂角色名稱] 方塊中,指定自訂角色的名稱。 此名稱在 Azure AD 目錄中必須是唯一的。 名稱可以包含字母、數字、空格和特殊字元。

  2. 在 [描述] 方塊中,指定自訂角色的選擇性描述。 這會成為自訂角色的工具提示。

    [基準權限] 選項應該已經根據上一個步驟來設定,但您可以加以變更。

    具有指定值的 [基本] 索引標籤

步驟 4:權限

在 [權限] 索引標籤上,您可以指定自訂角色的權限。 根據您是以複製角色的方式或是使用 JSON 來開始,[權限] 索引標籤可能已經列出一些權限。

建立自訂角色的 [權限] 索引標籤

新增或移除權限

請遵循下列步驟來新增或移除自訂角色的權限。

  1. 若要新增權限,請按一下 [新增權限] 以開啟 [新增權限] 窗格。

    此窗格會以卡片格式列出分組為不同類別的所有可用權限。 每個類別都代表資源提供者,也就是提供 Azure 資源的服務。

  2. 在 [搜尋權限] 方塊中,輸入要搜尋權限的字串。 例如,搜尋發票,以尋找與發票相關的權限。

    資源提供者卡片的清單將會根據您的搜尋字串來顯示。 如需資源提供者如何與 Azure 服務對應的清單,請參閱 Azure 服務的資源提供者

    包含資源提供者的新增權限窗格

  3. 若資源提供者卡片可能有您想要新增至自訂角色的權限,則按一下該卡片,例如 Microsoft 計費

    系統會根據您的搜尋字串,顯示該資源提供者的管理權限清單。

    新增權限清單

  4. 如果您要尋找適用於資料平面的權限,請按一下 [資料動作]。 否則,請將動作切換開關設定保留為 [動作],以列出套用至控制平面的權限。 如需控制平面和資料平面之間差異的詳細資訊,請參閱控制和資料動作

  5. 如有必要,請更新搜尋字串以進一步精簡搜尋。

  6. 一旦找到想要新增至自訂角色的一個或多個權限後,請在這些權限旁邊新增核取記號。 例如,在 [其他:下載發票] 旁新增核取記號,以新增下載發票的權限。

  7. 按一下 [新增] 將權限新增至您的權限清單。

    權限會新增為 ActionsDataActions

    已新增權限

  8. 若要移除權限,請按一下資料列結尾的刪除圖示。 在此範例中,由於使用者不需要建立支援票證的能力,因此可以刪除 Microsoft.Support/* 權限。

新增萬用字元權限

視您選擇的開始方式而定,您的權限清單中可能有使用萬用字元 (*) 的權限。 萬用字元 (*) 會將權限延伸到符合所提供動作字串的所有項目。 例如,下列萬用字元字串會新增所有與 Azure 成本管理和匯出相關的權限。 其中也包括可能新增的任何未來匯出權限。

Microsoft.CostManagement/exports/*

如果您想要新增萬用字元權限,您無法使用 [新增權限] 窗格來新增。 若要新增萬用字元權限,必須使用 [JSON] 索引標籤來手動新增。如需詳細資訊,請參閱步驟 6:JSON

注意

但與其使用萬用字元 (*),建議您還是明確指定 ActionsDataActions 為佳。 其他透過未來 ActionsDataActions 授與的存取權和使用權限,可能會於使用萬用字元時出現不想要的行為。

排除權限

如果您的角色具有萬用字元 (*) 權限,而您想要從該萬用字元權限中排除或刪減特定權限,您可以將這些權限排除。 例如,假設您具有下列萬用字元權限:

Microsoft.CostManagement/exports/*

如果您不想允許將匯出權限刪除,您可以排除下列刪除權限:

Microsoft.CostManagement/exports/delete

當您排除某個權限時,其會新增為 NotActionsNotDataActions。 藉由新增所有 Actions,然後減去所有 NotActions,即可計算有效的管理權限。 藉由新增所有 DataActions,然後減去所有 NotDataActions,即可計算有效的資料權限。

注意

排除權限與拒絕不同。 排除權限只是從萬用字元權限中刪減權限的便利方式。

  1. 若要從允許的萬用字元權限中排除或刪減權限,請按一下 [排除權限] 以開啟 [排除權限] 窗格。

    在此窗格中,您可以指定排除或刪減的管理或資料權限。

  2. 一旦找到想要排除的一個或多個權限後,請在權限旁新增核取記號,然後按一下 [新增] 按鈕。

    排除權限窗格 - 已選取權限

    權限會新增為 NotActionsNotDataActions

    已排除權限

步驟 5:可指派的範圍

在 [可指派的範圍] 索引標籤上,您可以指定可用來指派自訂角色的位置,例如管理群組、訂用帳戶或資源群組。 根據您選擇的開始方式,此索引標籤可能已經列出您開啟存取控制 (IAM) 頁面的範圍。

您只能在可指派的範圍中定義一個管理群組。 不支援將可指派的範圍設定為根範圍 ("/")。

  1. 按一下 [新增可指派的範圍],以開啟 [新增可指派的範圍] 窗格。

    [可指派的範圍] 索引標籤

  2. 按一下您想要使用的一個或多個範圍,通常是您的訂用帳戶。

    新增可指派的範圍

  3. 按一下 [新增] 按鈕來新增可指派的範圍。

步驟 6:JSON

在 [JSON] 索引標籤上,您會看到以 JSON 格式化的自訂角色。 若有需要,您可以直接編輯 JSON。

  1. 若要編輯 JSON,請按一下 [編輯]。

    顯示自訂角色的 JSON 索引標籤

  2. 對 JSON 進行變更。

    如果 JSON 格式不正確,您會在垂直導覽邊中看到紅色的鋸齒線和指標。

  3. 完成編輯後,請按一下 [儲存]。

步驟 7:檢閱 + 建立

在 [檢閱 + 建立] 索引標籤上,您可以檢閱自訂角色設定。

  1. 檢閱您的自訂角色設定。

    [檢閱 + 建立] 索引標籤

  2. 按一下 [建立] 以建立您的自訂角色。

    幾分鐘後會出現訊息方塊,指出已成功建立您的自訂角色。

    建立自訂角色訊息

    如果偵測到任何錯誤,系統將會顯示訊息。

    檢閱 + 建立錯誤

  3. 在 [角色] 清單中檢視新的自訂角色。 如果您沒有看到自訂角色,請按一下 [重新整理]。

    您的自訂角色可能需要幾分鐘的時間,才會出現在任何地方。

列出自訂角色

請遵循下列步驟來檢視您的自訂角色。

  1. 開啟管理群組、訂用帳戶或資源群組,然後在IAM) 開啟存取控制 (。

  2. 按一下 [角色] 索引標籤以查看所有內建與自訂角色清單。

  3. 在 [類型] 清單中選取 [CustomRole],即可看到您的自訂角色。

    如果您剛建立自訂角色,但未在清單中看到該角色,請按一下 [重新整理]。

    自訂角色清單

更新自訂角色

  1. 如本文稍早所述,開啟您的自訂角色清單。

  2. 針對您要更新的自訂角色按一下省略符號 (...),然後按一下 [編輯]。 請注意,您無法更新內建角色。

    自訂角色會在編輯器中開啟。

    自訂角色功能表

  3. 請使用不同的索引標籤來更新自訂角色。

  4. 完成變更之後,請按一下 [檢閱 + 建立] 索引標籤來檢閱您的變更。

  5. 按一下 [更新] 按鈕以更新您的自訂角色。

刪除自訂角色

  1. 移除任何使用自訂角色的角色指派。 如需詳細資訊,請參閱尋找要刪除自訂角色的角色指派

  2. 如本文稍早所述,開啟您的自訂角色清單。

  3. 針對您要刪除的自訂角色按一下省略符號 (...),然後按一下 [刪除]。

    可選取要刪除之自訂角色清單的螢幕擷取畫面。

    可能需要幾分鐘的時間,您的自訂角色才能完全刪除。

下一步