Rychlý start: Přiřazení role Azure pomocí Bicep

Řízení přístupu na základě role Azure (chyba RBAC) je způsob správy přístupu k prostředkům Azure. V tomto rychlém startu vytvoříte skupinu prostředků a udělíte uživateli přístup k vytváření a správě virtuálních počítačů ve skupině prostředků. V tomto rychlém startu se k udělení přístupu používá Bicep.

Bicep je jazyk specifický pro doménu (DSL), který k nasazování prostředků Azure používá deklarativní syntaxi. Poskytuje stručnou syntaxi, spolehlivou bezpečnost typů a podporu pro opakované použití kódu. Bicep nabízí nejlepší prostředí pro vytváření obsahu pro řešení infrastruktury jako kódu v Azure.

Požadavky

Pokud chcete přiřadit role Azure a odebrat přiřazení rolí, musíte mít:

• Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
• Microsoft.Authorization/roleAssignments/write a Microsoft.Authorization/roleAssignments/delete oprávnění, jako je správce řízení přístupu na základě role.
• Pokud chcete přiřadit roli, musíte zadat tři prvky: objekt zabezpečení, definice role a obor. V tomto rychlém startu je objekt zabezpečení vy nebo jiný uživatel ve vašem adresáři, definice role je Přispěvatel virtuálních počítačů a obor je zadaná skupina prostředků.

Kontrola souboru Bicep

Soubor Bicep použitý v tomto rychlém startu pochází ze šablon Azure Pro rychlý start. Soubor Bicep má dva parametry a oddíl prostředků. V části prostředky si všimněte, že má tři prvky přiřazení role: objekt zabezpečení, definice role a obor.

@description('Specifies the role definition ID used in the role assignment.')
param roleDefinitionID string

@description('Specifies the principal ID assigned to the role.')
param principalId string

var roleAssignmentName= guid(principalId, roleDefinitionID, resourceGroup().id)
resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: roleAssignmentName
  properties: {
    roleDefinitionId: resourceId('Microsoft.Authorization/roleDefinitions', roleDefinitionID)
    principalId: principalId
  }
}

output name string = roleAssignment.name
output resourceGroupName string = resourceGroup().name
output resourceId string = roleAssignment.id

Prostředek definovaný v souboru Bicep je:

• Microsoft.Authorization/roleAssignments

Nasazení souboru Bicep

1. Uložte soubor Bicep jako main.bicep do místního počítače.

2. Nasaďte soubor Bicep pomocí Azure CLI nebo Azure PowerShellu.

   Rozhraní příkazového řádku

   az group create --name exampleRG --location eastus
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters roleDefinitionID=9980e02c-c2be-4d73-94e8-173b1dc7cf3c principalId=<principal-id>
   

   PowerShell

   New-AzResourceGroup -Name exampleRG -Location eastus
   New-AzResourceGroupDeployment -ResourceGroupName exampleRG -TemplateFile ./main.bicep -roleDefinitionID "9980e02c-c2be-4d73-94e8-173b1dc7cf3c" -principalId "<principal-id>"
   

Poznámka:

Nahraďte <ID objektu zabezpečení> přiřazeným k roli.

Po dokončení nasazení by se měla zobrazit zpráva, že nasazení bylo úspěšné.

Kontrola nasazených prostředků

Pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu můžete zobrazit seznam nasazených prostředků ve skupině prostředků.

Rozhraní příkazového řádku

az role assignment list --resource-group exampleRG

PowerShell

Get-AzRoleAssignment -ResourceGroupName exampleRG

Vyčištění prostředků

Pokud už ho nepotřebujete, odeberte přiřazení role pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu. Další informace najdete v tématu věnovaném odebrání přiřazení rolí v Azure.

K odstranění skupiny prostředků použijte Azure Portal, Azure CLI nebo Azure PowerShell.

Rozhraní příkazového řádku

az group delete --name exampleRG

PowerShell

Remove-AzResourceGroup -Name exampleRG

Další kroky

Kurz: Udělení přístupu uživatelů k prostředkům Azure pomocí Azure PowerShellu