Упражнение. Просмотр и управление настраиваемой ролью Azure

  • 7 мин

В этом уроке вы увидите, обновите и удалите пользовательскую роль Azure, созданную в предыдущем упражнении.

Просмотр пользовательских ролей на портале

Давайте будем использовать портал Azure для просмотра пользовательских ролей в подписке.

  1. Войдите на портал Azure с той же учетной записью, которую вы использовали для предыдущего упражнения.

  2. Найдите и выберите подписки в верхней части портала Azure.

  3. Выберите подписку, с которой связана пользовательская роль.

  4. Выберите роли управления доступом (IAM)>.

    снимок экрана, на котором показано, как перейти к управлению доступом (IAM) и ролям.

  5. Выберите тип>CustomRole.

    снимок экрана, на котором показаны пользовательские роли, выбранные в раскрывающемся списке.

    Вы получите список всех пользовательских ролей в вашей организации.

Обновление настраиваемой роли

Чтобы добавить разрешения для операции мониторинга, необходимо обновить роль оператора виртуальной машины. Мы обновим эту настраиваемую роль, чтобы добавить действие Microsoft.Insights/diagnosticSettings/.

  1. Выберите Cloud Shell в правом верхнем углу портала Azure.

  2. Введите код в Cloud Shell.

  3. Вставьте определение ниже в редактор.

    {
 "Name": "Virtual Machine Operator",
 "IsCustom": true,
 "Description": "Can monitor and restart virtual machines.",
 "Actions": [
   "Microsoft.Storage/*/read",
   "Microsoft.Network/*/read",
   "Microsoft.Compute/*/read",
   "Microsoft.Compute/virtualMachines/start/action",
   "Microsoft.Compute/virtualMachines/restart/action",
   "Microsoft.Authorization/*/read",
   "Microsoft.ResourceHealth/availabilityStatuses/read",
   "Microsoft.Resources/subscriptions/resourceGroups/read",
   "Microsoft.Insights/alertRules/*",
   "Microsoft.Insights/diagnosticSettings/*",
   "Microsoft.Support/*"
 ],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
   "/subscriptions/subscriptionId1"
 ]
}

  4. В разделе AssignableScopes замените subscriptionId1 идентификатором подписки. Если вы не сохранили это значение из предыдущего упражнения, выполните следующую команду, чтобы получить ее:

     az account list  --output json | jq '.[] | .id, .name'

  5. Выберите Сохранить из меню с тремя точками в верхнем правом углу панели Cloud Shell (или нажмите CTRL+S в Windows или CMD+S в macOS).

  6. Введите vm-operator-role-new.json в качестве имени файла, а затем выберите Сохранить.

  7. Выберите Закрыть редактор в меню с тремя точками в правом верхнем углу области Cloud Shell (или нажмите клавиши CTRL+Q в Windows или CMD + Q в macOS).

  8. Выполните следующую команду, чтобы обновить пользовательскую роль оператора виртуальной машины:

    az role definition update --role-definition vm-operator-role-new.json

  9. Выполните следующую команду, чтобы убедиться, что определение роли обновлено:

    az role definition list --name "Virtual Machine Operator" --output json | jq '.[] | .permissions[0].actions'

Удаление настраиваемой роли

Если вы решите, что вам больше не нужна настраиваемая роль, необходимо удалить назначения ролей, прежде чем удалить эту роль.

  1. Выполните следующую команду, чтобы удалить назначения ролей для настраиваемой роли:

    az role assignment delete --role "Virtual Machine Operator"

  2. Выполните следующую команду, чтобы удалить определение настраиваемой роли:

    az role definition delete --name "Virtual Machine Operator"

  3. Выполните следующую команду, чтобы убедиться, что роль исчезла. Если роль по-прежнему указана, подождите минуту и повторите команду:

    az role definition list --custom-role-only true