Упражнение. Создание настраиваемой роли Azure

Завершено

В этом уроке вы создадите пользовательскую роль для оператора виртуальной машины и назначите ее себе в Azure.

Это упражнение является необязательным. Для завершения вам потребуется доступ к подписке Azure, в которой у вас есть роль Администратора доступа пользователей или Владельца для вашей учетной записи. Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы.

Создание роли

Создайте пользовательскую роль в Azure для нового сотрудника.

1. Войдите на портал Azure с учетной записью, в которой у вас есть роль администратора доступа пользователей или владельца.

2. Выберите Cloud Shell в верхней правой строке меню.

3. Выберите Bash.

4. Выполните следующую команду, чтобы получить идентификатор подписки, используемый для определения пользовательской роли. Скопируйте идентификатор подписки.

    az account list  --output json | jq '.[] | .id, .name'
   

5. Введите код в Cloud Shell.

6. Вставьте следующее определение роли в редактор. Это определение роли, определенное в предыдущем уроке.

   {
    "Name": "Virtual Machine Operator",
    "IsCustom": true,
    "Description": "Can monitor and restart virtual machines.",
    "Actions": [
      "Microsoft.Storage/*/read",
      "Microsoft.Network/*/read",
      "Microsoft.Compute/*/read",
      "Microsoft.Compute/virtualMachines/start/action",
      "Microsoft.Compute/virtualMachines/restart/action",
      "Microsoft.Authorization/*/read",
      "Microsoft.ResourceHealth/availabilityStatuses/read",
      "Microsoft.Resources/subscriptions/resourceGroups/read",
      "Microsoft.Insights/alertRules/*",
      "Microsoft.Support/*"
    ], 
    "NotActions": [],
    "DataActions": [],
    "NotDataActions": [],
    "AssignableScopes": [
      "/subscriptions/subscriptionId"
    ]
   }
   

7. В разделе AssignableScopes замените subscriptionId значением, полученным на предыдущем шаге.

8. Выберите Сохранить из меню с тремя точками в правом верхнем углу панели Cloud Shell (или нажмите CTRL + S в Windows или CMD + S в macOS).

9. Введите vm-operator-role.json в качестве имени файла и сохранить.

10. Выберите Закрыть редактор в меню с тремя точками в правом верхнем углу области Cloud Shell (или нажмите клавиши CTRL+Q в Windows или CMD + Q в macOS).

11. Выполните следующую команду в Cloud Shell, чтобы создать пользовательскую роль:

    az role definition create --role-definition vm-operator-role.json
    

Назначить роль

При создании настраиваемой роли ее можно назначить пользователю или группе. Чтобы сделать вещи простыми для нашего сценария, назначьте настраиваемую роль себе.

1. Выполните следующую команду, чтобы получить имя принципала пользователя. Замените отображаемое имя именем, которое отображается на карточке профиля в верхней правой части портала Azure. Ваше отображаемое имя, скорее всего, является вашим именем и фамилией.

   USER=$(az ad user list --display-name "your display name" --query [0].userPrincipalName --output tsv)
   echo $USER
   

2. Выполните следующую команду, чтобы назначить настраиваемую роль себе, заменив "ваш идентификатор подписки" идентификатором подписки, который вы скопировали ранее.

   az role assignment create --assignee $USER --role "Virtual Machine Operator"  --scope /subscriptions/"your subscription id"
   

3. Закройте Cloud Shell.