Ćwiczenie — tworzenie roli niestandardowej platformy Azure

Ukończone

W ramach tej lekcji utworzysz rolę niestandardową Operator maszyny wirtualnej i przypiszesz ją sobie na platformie Azure.

To ćwiczenie jest opcjonalne. Aby je ukończyć, jest wymagany dostęp do subskrypcji platformy Azure, w której pełnisz rolę Administrator dostępu użytkowników lub Właściciel dla danego konta. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie roli

Utwórz rolę niestandardową platformy Azure dla nowego pracownika.

1. Zaloguj się w witrynie Azure Portal przy użyciu konta, na którym masz rolę Administrator dostępu użytkowników lub Właściciel.

2. Wybierz opcję Cloud Shell z paska menu w prawym górnym rogu.

3. Wybierz opcję Bash.

4. Uruchom następujące polecenie, aby pobrać identyfikator subskrypcji do użycia w definicji roli niestandardowej. Skopiuj identyfikator subskrypcji.

    az account list  --output json | jq '.[] | .id, .name'
   

5. Wpisz code w programie Cloud Shell.

6. Wklej następującą definicję roli w edytorze. To jest definicja roli zidentyfikowana w poprzedniej lekcji.

   {
    "Name": "Virtual Machine Operator",
    "IsCustom": true,
    "Description": "Can monitor and restart virtual machines.",
    "Actions": [
      "Microsoft.Storage/*/read",
      "Microsoft.Network/*/read",
      "Microsoft.Compute/*/read",
      "Microsoft.Compute/virtualMachines/start/action",
      "Microsoft.Compute/virtualMachines/restart/action",
      "Microsoft.Authorization/*/read",
      "Microsoft.ResourceHealth/availabilityStatuses/read",
      "Microsoft.Resources/subscriptions/resourceGroups/read",
      "Microsoft.Insights/alertRules/*",
      "Microsoft.Support/*"
    ], 
    "NotActions": [],
    "DataActions": [],
    "NotDataActions": [],
    "AssignableScopes": [
      "/subscriptions/subscriptionId"
    ]
   }
   

7. W sekcji AssignableScopes zastąp element subscriptionId wartością uzyskaną w poprzednim kroku.

8. Wybierz pozycję Zapisz z menu z trzema kropkami w prawym górnym rogu okienka usługi Cloud Shell (lub naciśnij klawisze CTRL + S w systemie Windows lub CMD + S w systemie macOS).

9. Wprowadź nazwę pliku vm-operator-role.json i wybierz pozycję Zapisz.

10. Wybierz pozycję Zamknij edytor z menu z trzema kropkami w prawym górnym rogu okienka usługi Cloud Shell (lub naciśnij klawisze CTRL + Q w systemie Windows lub CMD + Q w systemie macOS).

11. W usłudze Cloud Shell uruchom następujące polecenie, aby utworzyć rolę niestandardową:

    az role definition create --role-definition vm-operator-role.json
    

Przypisywanie roli

Po utworzeniu roli niestandardowej można przypisać ją do użytkownika lub grupy. Aby nasz scenariusz był prostszy, przypisz rolę niestandardową do siebie.

1. Uruchom następujące polecenie, aby uzyskać swoją główną nazwę użytkownika. Zastąp ciąg „your display name” nazwą widoczną na karcie profilu w prawym górnym rogu witryny Azure Portal. Nazwa wyświetlana to prawdopodobnie Twoje imię i nazwisko.

   USER=$(az ad user list --display-name "your display name" --query [0].userPrincipalName --output tsv)
   echo $USER
   

2. Uruchom następujące polecenie, aby przypisać rolę niestandardową do siebie, zastępując ciąg "identyfikator subskrypcji" identyfikatorem subskrypcji, który wcześniej obsypował:

   az role assignment create --assignee $USER --role "Virtual Machine Operator"  --scope /subscriptions/"your subscription id"
   

3. Zamknij program Cloud Shell.