Ćwiczenie — przeglądanie i zarządzanie rolą niestandardową platformy Azure

  • 7 min

W tej lekcji będziesz przeglądać, aktualizować i usuwać niestandardową rolę Azure, którą utworzyłeś w poprzednim zadaniu.

Wyświetl role niestandardowe w portalu

Użyjmy portalu Azure, aby wyświetlić role niestandardowe w subskrypcji.

  1. Zaloguj się do witryny Azure Portal przy użyciu tego samego konta, które zostało użyte w poprzednim ćwiczeniu.

  2. Wyszukaj i wybierz pozycję Subskrypcje w górnej części portalu Azure.

  3. Wybierz subskrypcję, z którą skojarzyłeś rolę niestandardową.

  4. Wybierz Kontrola dostępu (IAM)>Role.

    zrzut ekranu przedstawiający sposób uzyskiwania kontroli dostępu (IAM) i ról.

  5. Wybierz typ>CustomRole.

    Zrzut ekranu przedstawiający role niestandardowe wybrane z listy rozwijanej.

    Uzyskasz listę wszystkich ról niestandardowych w organizacji.

Aktualizowanie roli niestandardowej

Musimy zaktualizować rolę Operator maszyny wirtualnej, aby dodać uprawnienia do operacji monitorowania. Zaktualizujemy rolę niestandardową, aby uwzględnić akcję Microsoft.Insights/diagnosticSettings/.

  1. Wybierz pozycję Cloud Shell w prawym górnym rogu portalu Azure.

  2. Wpisz kod w usłudze Cloud Shell.

  3. Wklej poniższą definicję do edytora.

    {
 "Name": "Virtual Machine Operator",
 "IsCustom": true,
 "Description": "Can monitor and restart virtual machines.",
 "Actions": [
   "Microsoft.Storage/*/read",
   "Microsoft.Network/*/read",
   "Microsoft.Compute/*/read",
   "Microsoft.Compute/virtualMachines/start/action",
   "Microsoft.Compute/virtualMachines/restart/action",
   "Microsoft.Authorization/*/read",
   "Microsoft.ResourceHealth/availabilityStatuses/read",
   "Microsoft.Resources/subscriptions/resourceGroups/read",
   "Microsoft.Insights/alertRules/*",
   "Microsoft.Insights/diagnosticSettings/*",
   "Microsoft.Support/*"
 ],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
   "/subscriptions/subscriptionId1"
 ]
}

  4. W sekcji AssignableScopes zastąp subscriptionId1 identyfikatorem subskrypcji. Jeśli nie zapisano tej wartości z poprzedniego ćwiczenia, uruchom następujące polecenie, aby ją pobrać.

     az account list  --output json | jq '.[] | .id, .name'

  5. Wybierz pozycję Zapisz z menu z trzema kropkami w prawym górnym rogu okienka usługi Cloud Shell (lub naciśnij CTRL + S w systemie Windows lub CMD + S w systemie macOS).

  6. Wprowadź vm-operator-role-new.json jako nazwę pliku, a następnie wybierz pozycję Zapisz.

  7. Wybierz pozycję Zamknij edytor z menu z trzema kropkami w prawym górnym rogu okienka usługi Cloud Shell (lub naciśnij CTRL + Q w systemie Windows lub CMD + Q w systemie macOS).

  8. Uruchom następujące polecenie, aby zaktualizować niestandardową rolę Operatora maszyny wirtualnej:

    az role definition update --role-definition vm-operator-role-new.json

  9. Uruchom następujące polecenie, aby sprawdzić, czy definicja roli została zaktualizowana:

    az role definition list --name "Virtual Machine Operator" --output json | jq '.[] | .permissions[0].actions'

Usuń rolę niestandardową

Jeśli zdecydujesz, że nie potrzebujesz już roli niestandardowej, musisz usunąć przypisania do ról przed usunięciem roli.

  1. Uruchom następujące polecenie, aby usunąć przydziały ról dla roli niestandardowej.

    az role assignment delete --role "Virtual Machine Operator"

  2. Uruchom następujące polecenie, aby usunąć definicję roli niestandardowej:

    az role definition delete --name "Virtual Machine Operator"

  3. Uruchom następujące polecenie, aby sprawdzić, czy rola została usunięta. Jeśli rola jest nadal wyświetlana, zaczekaj minutę i ponownie uruchom polecenie:

    az role definition list --custom-role-only true