Ćwiczenie — wyświetlanie roli niestandardowej platformy Azure i zarządzanie nią

  • 7 min

W ramach tej lekcji przećwiczymy wyświetlanie, aktualizowanie i usuwanie roli niestandardowej platformy Azure, którą utworzyliśmy w poprzednim ćwiczeniu.

Wyświetlanie ról niestandardowych w portalu

Korzystając z witryny Azure Portal, wyświetlimy role niestandardowe w używanej subskrypcji.

  1. Zaloguj się w witrynie Azure Portal przy użyciu tego samego konta, które było używane w poprzednim ćwiczeniu.

  2. Na górze witryny Azure Portal znajdź i wybierz pozycję Subskrypcje.

  3. Wybierz subskrypcję, do której skojarzysz rolę niestandardową.

  4. Wybierz pozycję Kontrola dostępu (IAM)>Role.

    Screenshot that how to get to Access control (IAM) and Roles.

  5. Wybierz pozycję Typ>CustomRole.

    Screenshot that shows custom roles selected from drop-down list.

    Uzyskasz listę wszystkich ról niestandardowych w organizacji.

Aktualizowanie roli niestandardowej

Musimy zaktualizować rolę Operator maszyny wirtualnej, aby dodać uprawnienia do operacji monitorowania. Zaktualizujemy rolę niestandardową, aby uwzględnić akcję Microsoft.Insights/diagnosticSettings/.

  1. Wybierz pozycję Cloud Shell w prawej części witryny Azure Portal.

  2. Wpisz code w usłudze Cloud Shell.

  3. Wklej poniższą definicję w edytorze.

    {
 "Name": "Virtual Machine Operator",
 "IsCustom": true,
 "Description": "Can monitor and restart virtual machines.",
 "Actions": [
   "Microsoft.Storage/*/read",
   "Microsoft.Network/*/read",
   "Microsoft.Compute/*/read",
   "Microsoft.Compute/virtualMachines/start/action",
   "Microsoft.Compute/virtualMachines/restart/action",
   "Microsoft.Authorization/*/read",
   "Microsoft.ResourceHealth/availabilityStatuses/read",
   "Microsoft.Resources/subscriptions/resourceGroups/read",
   "Microsoft.Insights/alertRules/*",
   "Microsoft.Insights/diagnosticSettings/*",
   "Microsoft.Support/*"
 ],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
   "/subscriptions/subscriptionId1"
 ]
}

  4. W sekcji AssignableScopes zastąp element subscriptionId1 identyfikatorem subskrypcji. Jeśli nie zapisano tej wartości z poprzedniego ćwiczenia, uruchom następujące polecenie, aby go pobrać:

     az account list  --output json | jq '.[] | .id, .name'

  5. Wybierz pozycję Zapisz z menu z trzema kropkami w prawym górnym rogu okienka usługi Cloud Shell (lub naciśnij klawisze CTRL + S w systemie Windows lub CMD + S w systemie macOS).

  6. Wprowadź ciąg vm-operator-role-new.json jako nazwę pliku, a następnie wybierz pozycję Zapisz.

  7. Wybierz pozycję Zamknij edytor z menu z trzema kropkami w prawym górnym rogu okienka usługi Cloud Shell (lub naciśnij klawisze CTRL + Q w systemie Windows lub CMD + Q w systemie macOS).

  8. Uruchom następujące polecenie, aby zaktualizować rolę niestandardową Operator maszyny wirtualnej:

    az role definition update --role-definition vm-operator-role-new.json

  9. Uruchom następujące polecenie, aby sprawdzić, czy definicja roli została zaktualizowana:

    az role definition list --name "Virtual Machine Operator" --output json | jq '.[] | .permissions[0].actions'

Usuwanie roli niestandardowej

Jeśli rola niestandardowa przestała być potrzebna, przed jej usunięciem należy usunąć jej przypisania.

  1. Uruchom następujące polecenie, aby usunąć przypisania ról dla roli niestandardowej:

    az role assignment delete --role "Virtual Machine Operator"

  2. Uruchom następujące polecenie, aby usunąć definicję roli niestandardowej:

    az role definition delete --name "Virtual Machine Operator"

  3. Uruchom następujące polecenie, aby sprawdzić, czy rola zniknęła. Jeśli rola jest nadal wyświetlana, zaczekaj minutę i ponownie uruchom polecenie:

    az role definition list --custom-role-only true