Sdílet prostřednictvím


Správa rolí instančních objektů

Pokud chcete omezit přístup k prostředkům Azure, můžete ke správě přiřazení rolí použít instanční objekt. Každá role poskytuje uživateli různá oprávnění povolená při přístupu k prostředkům Azure. Tento krok v tomto kurzu vysvětluje, jak vytvořit a odebrat role instančního objektu.

Azure CLI má následující příkazy pro správu přiřazení rolí:

Vytvoření nebo odebrání přiřazení role

Role Přispěvatel má úplná oprávnění ke čtení a zápisu do účtu Azure. Role Čtenář je více omezující s přístupem jen pro čtení. Vždy používejte princip nejnižších oprávnění. Úplný seznam dostupných rolí v Azure RBAC najdete v tématu Předdefinované role Azure.

Přidáním role se neomezí dříve přiřazená oprávnění. Tento příklad přidá roli Čtenář a odebere roli Přispěvatel :

az role assignment create --assignee myServicePrincipalID \
                          --role Reader \
                          --scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName

az role assignment delete --assignee myServicePrincipalID \
                          --role Contributor \
                          --scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName

Výstupní konzola:

{
  "condition": null,
  "conditionVersion": null,
  "createdBy": null,
  "createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
  "delegatedManagedIdentityResourceId": null,
  "description": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "name": "00000000-0000-0000-0000-000000000000",
  "principalId": "00000000-0000-0000-0000-000000000000",
  "principalType": "ServicePrincipal",
  "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
  "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
  "type": "Microsoft.Authorization/roleAssignments",
  "updatedBy": "00000000-0000-0000-0000-000000000000",
  "updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}

Jak získat hodnotu parametru oboru

Jednou z otázek, kterou můžete mít, je "Návody znát hodnotu parametru--scope?". Odpovědí je vyhledání a zkopírování ID prostředku Azure, ke které potřebuje váš instanční objekt přistupovat. Tyto informace se obvykle nacházejí na stránce Vlastnosti webu Azure Portal nebo koncové body jednotlivých prostředků. Tady jsou běžné --scope příklady, ale pro skutečný formát a hodnotu se spoléháte na ID prostředku.

Obor Příklad
Předplatné /subscriptions/mySubscriptionID
Skupina prostředků /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
Virtuální počítač /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Compute/virtualMachines/myVMname
Souborová služba účtu úložiště /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Storage/storageAccounts/myStorageAccountName/fileServices/default
Data factory /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.DataFactory/factories/myDataFactoryName

Další příklady oborů najdete v tématu Vysvětlení rozsahu pro Azure RBAC.

Ověření změn

Změny je možné ověřit výpisem přiřazených rolí:

# list all role assignments for the current subscription
az role assignment list --output table

# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com

# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID

Můžete také přejít na web Azure Portal a ručně přiřadit roli instančnímu objektu z nabídky Řízení přístupu (IAM). Další příklady výpisu přiřazení rolí najdete v tématu Výpis přiřazení rolí Azure pomocí Azure CLI.

Další kroky

Teď, když jste se naučili spravovat role instančního objektu, přejděte k dalšímu kroku a zjistěte, jak pomocí instančních objektů vytvořit prostředek.