Verwalten benutzerdefinierter Azure-Rollen

Abgeschlossen

In dieser Lerneinheit erfahren Sie, durch wen und wie benutzerdefinierte Azure-Rollen verwaltet werden können.

Wer kann benutzerdefinierte Rollen verwalten?

Im Allgemeinen verfügen Administratoren mit den Rollen „Besitzer“ oder „Benutzerzugriffsadministrator“ über Berechtigungen zum Erstellen und Verwalten von benutzerdefinierten Rollen. Standardmäßig verfügen diese Rollen über die Berechtigung Microsoft.Authorization/roleDefinitions/write für alle Rollenzuweisungsbereiche. Diese Berechtigung ist erforderlich, um benutzerdefinierte Rollen zu erstellen, zu löschen oder zu aktualisieren.

Die Rollenzuweisungsbereiche werden in der benutzerdefinierten Rollendefinition in AssignableScopes definiert. Wie in Lerneinheit 2 erläutert, kann es sich bei AssignableScopes um ein oder mehrere Abonnements, Ressourcengruppen oder Ressourcen handeln.

Die folgende Tabelle führt die Berechtigungen auf, die Sie benötigen, um benutzerdefinierte Rollen zu erstellen, zu löschen, zu aktualisieren oder anzuzeigen. Zum Verwalten von benutzerdefinierten Rollen müssen Sie einer Rolle zugewiesen werden, welche die zugehörigen Aktionen und AssignableScopes in der Rollendefinition enthält.

Task Aktionen Beschreibung
Erstellen/Löschen Microsoft.Authorization/roleDefinitions/write Benutzer können benutzerdefinierte Rollen für die Verwendung in Bereichen erstellen oder löschen. Beispiele: Besitzer*innen von und Benutzerzugriffsadministrator*innen für Abonnements, Ressourcengruppen und Ressourcen.
Aktualisieren Microsoft.Authorization/roleDefinitions/write Benutzer können benutzerdefinierte Rollen in Bereichen aktualisieren. Beispiele: Besitzer*innen von und Benutzerzugriffsadministrator*innen für Abonnements, Ressourcengruppen und Ressourcen.
Anzeigen Microsoft.Authorization/roleDefinitions/read Benutzer können benutzerdefinierte Rollen anzeigen, die für die Zuweisung in einem Bereich verfügbar sind. Alle integrierten Rollen erlauben, dass benutzerdefinierte Rollen für die Zuweisung verfügbar sind.

Erstellen von benutzerdefinierten Rollen

In der vorherigen Lerneinheit haben Sie mithilfe der Azure-Befehlszeilenschnittstelle eine benutzerdefinierte Rolle erstellt. Sie können benutzerdefinierte Rollen aber auch im Azure-Portal oder in Azure PowerShell erstellen.

Erstellen benutzerdefinierter Rollen über das Azure-Portal

Wechseln Sie Im Azure-Portal zur Abonnement- oder Ressourcengruppe, auf die der benutzerdefinierte Rollenbereich angewandt werden soll. Wechseln Sie dann zu Zugriffssteuerung (IAM), und wählen Sie Hinzufügen>Benutzerdefinierte Rolle hinzufügen aus.

Screenshot, der die Option „Benutzerdefinierte Rolle hinzufügen“ unter der Schaltfläche „Hinzufügen“ zeigt.

Sie können eine vorhandene Rolle klonen oder eine Rolle von Grund auf neu erstellen.

Screenshot der aktivierten Optionsschaltfläche „Rolle klonen“ und der zu klonenden Rolle „Mitwirkender für virtuelle Computer“.

Mithilfe beider Optionen lassen sich Berechtigungen, Bereiche und der resultierende JSON-Code bearbeiten.

Erstellen benutzerdefinierter Rollen mithilfe von Azure PowerShell

Die Schritte zum Erstellen einer Rolle mithilfe von Azure PowerShell ähneln dem, was in den vorherigen beiden Lerneinheiten behandelt wurde. Nachdem Sie die benutzerdefinierten Rolle in einer JSON-Datei definiert haben, verwenden Sie in der Azure CLI den folgenden Befehl, um die benutzerdefinierte Rolle zu erstellen:

az role definition create --role-definition vm-operator-role.json

Um die Rolle in Azure PowerShell zu erstellen, führen Sie den folgenden Befehl aus:

New-AzRoleDefinition -InputFile "vm-operator-role.json"

Aktualisieren von benutzerdefinierten Rollen

Zum Aktualisieren einer benutzerdefinierten Rolle können Sie die Azure-Befehlszeilenschnittstelle oder Azure PowerShell verwenden. Sie führen die spezifischen Schritte zum Aktualisieren Ihrer benutzerdefinierten Rollendefinition in der nächsten Lerneinheit durch. Im Allgemeinen werden Sie jedoch einen der folgenden Befehle ausführen, nachdem Sie die JSON-Datei mit Ihren Änderungen aktualisiert haben.

Wenn Sie die benutzerdefinierte Rolle mithilfe der Azure-Befehlszeilenschnittstelle aktualisieren möchten, führen Sie den folgenden Befehl mit dem Pfad zu der JSON-Datei mit Ihren Updates aus:

az role definition update --role-definition "<<path-to-json-file>>"

Führen Sie in Azure PowerShell den folgenden Befehl mit dem Pfad zur aktualisierten JSON-Datei aus:

Set-AzRoleDefinition -InputFile "<<path-to-json-file>>"

Anzeigen von benutzerdefinierten Rollen

In der nächsten Lerneinheit erfahren Sie, wie benutzerdefinierte Rollen im Azure-Portal angezeigt werden. Sie können auch eine Liste der benutzerdefinierten Rollen über die Azure CLI oder PowerShell abrufen.

Mit folgendem Befehl können Sie auch alle benutzerdefinierten Rollen über die Azure-Befehlszeilenschnittstelle auflisten:

az role definition list --custom-role-only true --output json | jq '.[] | {"roleName":.roleName, "roleType":.roleType}'

Beachten Sie, dass der Befehl nur den Rollennamen und den Rollentyp anfordert. Dadurch ist es einfacher, viele Rollen anzuzeigen.

Mit folgendem Befehl können Sie auch alle benutzerdefinierten Rollen über Azure PowerShell auflisten. Mit diesem Befehl werden die benutzerdefinierten Rollen aufgelistet, die für die Zuweisung im Abonnement verfügbar sind. Wenn das Abonnement nicht in der AssignableScopes-Eigenschaft der Rolle enthalten ist, wird die benutzerdefinierte Rolle nicht aufgeführt.

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Anzeigen der Rollendefinition

Mit dem folgenden Azure CLI-Befehl können Sie die vollständige Definition für eine bestimmte Rolle anzeigen:

az role definition list --name "Virtual Machine Operator"

Zur Anzeige der Definition in PowerShell verwenden Sie folgenden Befehl:

Get-AzRoleDefinition "Virtual Machine Operator" 

Auflisten der benutzerdefinierten Rollenzuweisung

Über den folgenden Befehl können Sie die Personen anzeigen, die der benutzerdefinierten Rolle, die Sie in der Azure CLI erstellt haben, zugewiesen sind:

az role assignment list --role "Virtual Machine Operator"

In PowerShell verwenden Sie folgenden Befehl:

Get-AzRoleAssignment -RoleDefinitionName "Virtual Machine Operator"

Löschen von benutzerdefinierten Rollen

Sie benötigen die benutzerdefinierte Rolle, die Sie in der vorherigen Lerneinheit erstellt haben, für die Übungen in der nächsten Lerneinheit, daher sollten Sie Ihre benutzerdefinierte Rolle noch nicht löschen. Im Folgenden wird erläutert, wie Sie eine benutzerdefinierte Rolle löschen.

Entfernen von Rollenzuweisungen

Wenn Sie die benutzerdefinierte Rolle nicht mehr benötigen, müssen Sie die Rollenzuweisungen entfernen, bevor Sie die Rolle löschen können.

Im Azure-Portal können Sie Zuweisungen entfernen, indem Sie das Abonnement, die Ressourcengruppe oder die Ressource aufrufen, für die der Bereich der benutzerdefinierten Rolle gilt. Wechseln Sie dann zu Zugriffssteuerung (IAM)>Rollenzuweisungen. Filtern Sie nach dem Rollennamen, wählen Sie alle Benutzer aus, die der Rolle zugewiesen sind, und wählen Sie Entfernen aus.

Verwenden Sie in der Azure CLI den folgenden Befehl mit dem Namen der benutzerdefinierten Rolle:

   az role assignment delete --role "role name"

In Azure PowerShell verwenden Sie das Cmdlet Remove-AzRoleAssignment. Der Befehl könnte etwa wie folgt aussehen:

Remove-AzRoleAssignment -ObjectId <object_id> -RoleDefinitionName "role name" -Scope /subscriptions/<subscription_id>

ObjectID ist die Microsoft Entra-Objekt-ID der Benutzer*innen, der Gruppe oder des Dienstprinzipals.

Löschen von benutzerdefinierten Rollen

Sie können eine benutzerdefinierte Rolle über das Azure-Portal, die Azure CLI oder Azure PowerShell löschen.

Wechseln Sie im Azure-Portal zu dem Abonnement, der Ressourcengruppe oder der Ressource, auf das bzw. die der Bereich der benutzerdefinierten Rolle angewandt wird, und navigieren Sie dann zu Zugriffssteuerung (IAM)>Rollen. Wählen Sie Typ>CustomRoleaus, um die Rolle zu suchen.

Screenshot mit benutzerdefinierten Rollen, die in einer Dropdownliste ausgewählt wurden

Wählen Sie die Rolle und dann Entfernen aus.

In der nächsten Lerneinheit verwenden Sie den folgenden Befehl, um die benutzerdefinierte Rolle über die Azure-Befehlszeilenschnittstelle zu löschen:

az role definition delete --name "role name"

Verwenden Sie in PowerShell den folgenden Befehl, um eine Rolle zu löschen:

Get-AzRoleDefinition "role name" | Remove-AzRoleDefinition

Überprüfen Sie Ihr Wissen

1.

Welches Azure PowerShell-Cmdlet wird zum Aktualisieren einer benutzerdefinierten Rolle verwendet?

2.

Welche Schritte sind erforderlich, um eine benutzerdefinierte Rolle zu entfernen?