Übung: Anzeigen und Verwalten einer benutzerdefinierten Azure-Rolle

  • 7 Minuten

In dieser Lerneinheit werden Sie die benutzerdefinierte Azure-Rolle, die Sie in der vorherigen Übung erstellt haben, anzeigen, aktualisieren und löschen.

Anzeigen von benutzerdefinierten Rollen im Portal

Über das Azure-Portal können Sie die benutzerdefinierten Rollen in Ihrem Abonnement anzeigen.

  1. Melden Sie sich im Azure-Portal mit dem Konto an, das Sie in der vorherigen Übung verwendet haben.

  2. Suchen Sie oben im Azure-Portal nach Abonnements, und wählen Sie diese Option aus.

  3. Wählen Sie das Abonnement aus, dem Sie die benutzerdefinierte Rolle zugewiesen haben.

  4. Wählen Sie Zugriffssteuerung (IAM)>Rollen aus.

    Screenshot that how to get to Access control (IAM) and Roles.

  5. Wählen Sie Typ>CustomRole aus.

    Screenshot that shows custom roles selected from drop-down list.

    Sie erhalten eine Liste aller benutzerdefinierten Rollen in Ihrer Organisation.

Aktualisieren von benutzerdefinierten Rollen

Die Rolle des Operators für virtuelle Computer muss aktualisiert werden, um Berechtigungen für einen Überwachungsvorgang hinzuzufügen. Sie aktualisieren die benutzerdefinierte Rolle, um die Aktion Microsoft.Insights/diagnosticSettings/ einzuschließen.

  1. Wählen Sie oben rechts im Azure-Portal Cloud Shell aus.

  2. Geben Sie in Cloud Shell die Zeichenfolge code ein.

  3. Fügen Sie die nachfolgende Definition in den Editor ein.

    {
 "Name": "Virtual Machine Operator",
 "IsCustom": true,
 "Description": "Can monitor and restart virtual machines.",
 "Actions": [
   "Microsoft.Storage/*/read",
   "Microsoft.Network/*/read",
   "Microsoft.Compute/*/read",
   "Microsoft.Compute/virtualMachines/start/action",
   "Microsoft.Compute/virtualMachines/restart/action",
   "Microsoft.Authorization/*/read",
   "Microsoft.ResourceHealth/availabilityStatuses/read",
   "Microsoft.Resources/subscriptions/resourceGroups/read",
   "Microsoft.Insights/alertRules/*",
   "Microsoft.Insights/diagnosticSettings/*",
   "Microsoft.Support/*"
 ],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
   "/subscriptions/subscriptionId1"
 ]
}

  4. Ersetzen Sie im Abschnitt AssignableScopes den Text subscriptionId1 durch Ihre Abonnement-ID. Wenn Sie diesen Wert aus der vorherigen Übung nicht gespeichert haben, rufen Sie ihn mit dem folgenden Befehl ab:

     az account list  --output json | jq '.[] | .id, .name'

  5. Wählen Sie rechts oben im Cloud Shell-Bereich im Dreipunktmenü Speichern aus (oder drücken Sie STRG+S unter Windows bzw. BEFEHL+S unter macOS).

  6. Geben Sie vm-operator-role-new.json als Dateinamen ein, und wählen Sie dann Speichern aus.

  7. Wählen Sie rechts oben im Cloud Shell-Bereich im Dreipunktmenü Editor schließen aus (oder drücken Sie STRG+Q unter Windows bzw. BEFEHL+Q unter macOS).

  8. Führen Sie den folgenden Befehl aus, um die benutzerdefinierte Rolle „Operator für virtuelle Computer“ zu aktualisieren:

    az role definition update --role-definition vm-operator-role-new.json

  9. Führen Sie den folgenden Befehl aus, um sicherzustellen, dass die Rollendefinition aktualisiert wurde:

    az role definition list --name "Virtual Machine Operator" --output json | jq '.[] | .permissions[0].actions'

Löschen von benutzerdefinierten Rollen

Wenn Sie die benutzerdefinierte Rolle nicht mehr benötigen, müssen Sie die Rollenzuweisungen entfernen, bevor Sie die Rolle löschen können.

  1. Führen Sie den folgenden Befehl aus, um die Rollenzuweisungen für die benutzerdefinierte Rolle zu entfernen:

    az role assignment delete --role "Virtual Machine Operator"

  2. Führen Sie den folgenden Befehl aus, um die benutzerdefinierte Rollendefinition zu löschen:

    az role definition delete --name "Virtual Machine Operator"

  3. Führen Sie den folgenden Befehl aus, um sicherzustellen, dass die Rolle gelöscht ist. Wenn die Rolle weiterhin aufgeführt ist, warten Sie eine Minute, und führen Sie den Befehl erneut aus:

    az role definition list --custom-role-only true