Správa rolí instančních objektů
Pokud chcete omezit přístup k prostředkům Azure, můžete ke správě přiřazení rolí použít instanční objekt. Každá role poskytuje uživateli různá oprávnění povolená při přístupu k prostředkům Azure. Tento krok v tomto kurzu vysvětluje, jak vytvořit a odebrat role instančního objektu.
Azure CLI má následující příkazy pro správu přiřazení rolí:
Vytvoření nebo odebrání přiřazení role
Role Přispěvatel má úplná oprávnění ke čtení a zápisu do účtu Azure. Role Čtenář je více omezující s přístupem jen pro čtení. Vždy používejte princip nejnižších oprávnění. Úplný seznam dostupných rolí v Azure RBAC najdete v tématu Předdefinované role Azure.
Přidáním role se neomezí dříve přiřazená oprávnění. Tento příklad přidá roli Čtenář a odebere roli Přispěvatel :
az role assignment create --assignee myServicePrincipalID \
--role Reader \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
az role assignment delete --assignee myServicePrincipalID \
--role Contributor \
--scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
Výstupní konzola:
{
"condition": null,
"conditionVersion": null,
"createdBy": null,
"createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
"delegatedManagedIdentityResourceId": null,
"description": null,
"id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
"name": "00000000-0000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-0000-000000000000",
"principalType": "ServicePrincipal",
"roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
"type": "Microsoft.Authorization/roleAssignments",
"updatedBy": "00000000-0000-0000-0000-000000000000",
"updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}
Jak získat hodnotu parametru oboru
Jednou z otázek, kterou můžete mít, je "Návody znát hodnotu parametru--scope
?". Odpovědí je vyhledání a zkopírování ID prostředku Azure, ke které potřebuje váš instanční objekt přistupovat. Tyto informace se obvykle nacházejí na stránce Vlastnosti webu Azure Portal nebo koncové body jednotlivých prostředků. Tady jsou běžné --scope
příklady, ale pro skutečný formát a hodnotu se spoléháte na ID prostředku.
Obor | Příklad |
---|---|
Předplatné | /subscriptions/mySubscriptionID |
Skupina prostředků | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName |
Virtuální počítač | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Compute/virtualMachines/myVMname |
Souborová služba účtu úložiště | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Storage/storageAccounts/myStorageAccountName/fileServices/default |
Data factory | /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.DataFactory/factories/myDataFactoryName |
Další příklady oborů najdete v tématu Vysvětlení rozsahu pro Azure RBAC.
Ověření změn
Změny je možné ověřit výpisem přiřazených rolí:
# list all role assignments for the current subscription
az role assignment list --output table
# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com
# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID
Můžete také přejít na web Azure Portal a ručně přiřadit roli instančnímu objektu z nabídky Řízení přístupu (IAM). Další příklady výpisu přiřazení rolí najdete v tématu Výpis přiřazení rolí Azure pomocí Azure CLI.
Další kroky
Teď, když jste se naučili spravovat role instančního objektu, přejděte k dalšímu kroku a zjistěte, jak pomocí instančních objektů vytvořit prostředek.