你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft.Authorization roleAssignments

Bicep 资源定义

roleAssignments 资源类型是 扩展资源,这意味着你可以将其应用到另一个资源。

使用此资源的 scope 属性设置此资源的范围。 请参阅 在 Bicep中设置扩展资源的范围。

可以使用目标操作部署 roleAssignments 资源类型:

有关每个 API 版本中已更改属性的列表,请参阅 更改日志

言论

有关创建角色分配和定义的指导,请参阅 使用 Bicep创建 Azure RBAC 资源。

资源格式

若要创建 Microsoft.Authorization/roleAssignments 资源,请将以下 Bicep 添加到模板。

resource symbolicname 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: 'string'
  scope: resourceSymbolicName or tenant()
  properties: {
    condition: 'string'
    conditionVersion: 'string'
    delegatedManagedIdentityResourceId: 'string'
    description: 'string'
    principalId: 'string'
    principalType: 'string'
    roleDefinitionId: 'string'
  }
}

属性值

roleAssignments

名字 描述 价值
名字 资源名称 string (必需)

字符限制:36

有效字符:
必须是全局唯一标识符(GUID)。

资源名称在租户中必须唯一。
范围 在与部署范围不同的范围内创建扩展资源时使用。 目标资源

对于 Bicep,请将此属性设置为资源的符号名称,以应用 扩展资源

此资源类型也可以应用于租户。
对于 Bicep,请使用 tenant()
性能 角色分配属性。 RoleAssignmentProperties(必需)

RoleAssignmentProperties

名字 描述 价值
条件 角色分配的条件。 这会限制可分配给的资源。例如:@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase “foo_storage_container” 字符串
conditionVersion 条件的版本。 目前唯一接受的值为“2.0” 字符串
delegatedManagedIdentityResourceId 委派托管标识资源的 ID 字符串
描述 角色分配的说明 字符串
principalId 主体 ID。 string (必需)
principalType 分配的主体 ID 的主体类型。 “Device”
“ForeignGroup”
“Group”
“ServicePrincipal”
“User”
roleDefinitionId 角色定义 ID。 string (必需)

快速入门模板

以下快速入门模板部署此资源类型。

模板 描述
部署 Darktrace 自动缩放 vSensors

部署到 Azure
此模板允许你部署 Darktrace vSensors 的自动自动缩放部署
BrowserBox Azure Edition

部署到 Azure
此模板在 Azure Ubuntu Server 22.04 LTS、Debian 11 或 RHEL 8.7 LVM VM 上部署 BrowserBox。
Hazelcast 群集

部署到 Azure
Hazelcast 是一个内存中数据平台,可用于各种数据应用程序。 此模板将部署任意数量的 Hazelcast 节点,它们将自动发现彼此。
Ibm Cloud Pak for Data on Azure

部署到 Azure
此模板在 Azure 上部署一个 Openshift 群集,其中包含所有必需的资源、基础结构,然后部署 IBM Cloud Pak for Data 以及用户选择的加载项。
min.io Azure 网关

部署到 Azure
完全专用 min.io Azure 网关部署,以提供受 Blob 存储支持的符合 S3 的存储 API
为 SAP ILM 存储 部署存储帐户

部署到 Azure
Microsoft Azure 存储帐户现在可用作 ILM 存储,用于保存 SAP ILM 系统中的存档文件和附件。 ILM 存储是满足 SAP ILM 兼容存储系统要求的组件。 可以使用 WebDAV 接口标准将存档文件存储在存储介质中,同时使用 SAP ILM 保留管理规则。 有关 SAP ILM 存储的详细信息,请参阅 SAP 帮助门户
创建 WordPress 网站

部署到 Azure
此模板在容器实例上创建 WordPress 站点
使用 NAT 网关和应用程序网关 AKS 群集

部署到 Azure
此示例演示如何使用 NAT 网关部署 AKS 群集进行出站连接,以及如何为入站连接部署应用程序网关。
Azure Cloud Shell - VNet

部署到 Azure
此模板将 Azure Cloud Shell 资源部署到 Azure 虚拟网络。
使用 Azure Windows 基线 Azure 映像生成器

部署到 Azure
创建 Azure 映像生成器环境,并生成应用最新 Windows 更新和 Azure Windows 基线的 Windows Server 映像。
使用公共 DNS 区域创建专用 AKS 群集

部署到 Azure
此示例演示如何使用公共 DNS 区域部署专用 AKS 群集。
在 Azure 体系结构 上部署体育分析

部署到 Azure
创建启用了 ADLS Gen 2 的 Azure 存储帐户、存储帐户的链接服务的 Azure 数据工厂实例(如果已部署的 Azure SQL 数据库)和 Azure Databricks 实例。 将为部署模板的用户的 AAD 标识以及 ADF 实例的托管标识授予存储帐户上的存储 Blob 数据参与者角色。 还有一些选项可用于部署 Azure Key Vault 实例、Azure SQL 数据库和 Azure 事件中心(用于流式处理用例)。 部署 Azure Key Vault 后,将为部署模板的用户提供数据工厂托管标识和 AAD 标识,并被授予 Key Vault 机密用户角色。
从 ZIP 存档 URL 导入 VHD Blob

部署到 Azure
基于专用磁盘映像部署虚拟机需要将 VHD 文件导入存储帐户。 如果单个 ZIP 中压缩了多个 VHD 文件,并且获取了用于提取 ZIP 存档的 URL,则此 ARM 模板将简化作业:下载、提取和导入到现有存储帐户 Blob 容器中。
创建用户分配的托管标识和角色分配

部署到 Azure
通过此模块,可以创建用户分配的托管标识和限定为资源组的角色分配。
从 KeyVault 使用 SSL 创建 API 管理服务

部署到 Azure
此模板部署配置有用户分配标识的 API 管理服务。 它使用此标识从 KeyVault 提取 SSL 证书,并通过每隔 4 小时检查一次来更新它。
使用注册表 创建容器应用和环境

部署到 Azure
使用 Azure 容器注册表中的基本容器应用创建容器应用环境。 它还部署 Log Analytics 工作区来存储日志。
使用容器应用创建 Dapr pub-sub servicebus 应用

部署到 Azure
使用容器应用创建 Dapr pub-sub servicebus 应用。
部署简单的 Azure Spring Apps 微服务应用程序

部署到 Azure
此模板部署一个简单的 Azure Spring Apps 微服务应用程序,以在 Azure 上运行。
RBAC - 为资源组中的多个现有 VM 授予内置角色访问权限

部署到 Azure
此模板授予对资源组中多个现有 VM 的适用基于角色的访问权限
将 RBAC 角色分配给资源组

部署到 Azure
此模板为现有资源组分配所有者、读者或参与者访问权限。
RBAC - 现有 VM

部署到 Azure
此模板授予对资源组中现有 VM 的适用角色访问权限
RBAC - 在 Azure Maps 帐户上创建托管标识访问

部署到 Azure
此模板创建托管标识,并向其分配对已创建的 Azure Maps 帐户的访问权限。
为 azure 业务连续性项创建警报规则

部署到 Azure
此模板创建警报规则和用户分配的 MSI。 它还向订阅分配 MSI 读取器访问权限,以便警报规则有权查询所需的受保护项和最新的恢复点详细信息。
创建 Azure Stack HCI 23H2 群集

部署到 Azure
此模板使用 ARM 模板创建 Azure Stack HCI 23H2 群集。
创建 Azure Stack HCI 23H2 群集

部署到 Azure
此模板使用 ARM 模板(使用自定义存储 IP)创建 Azure Stack HCI 23H2 群集
在无交换机-双链路网络模式下创建 Azure Stack HCI 23H2 群集

部署到 Azure
此模板使用 ARM 模板创建 Azure Stack HCI 23H2 群集。
在 Switchless-SingleLink 网络模式下创建 Azure Stack HCI 23H2 群集

部署到 Azure
此模板使用 ARM 模板创建 Azure Stack HCI 23H2 群集。
使用静态网站源 Front Door 标准版/高级版

部署到 Azure
此模板创建 Front Door 标准版/高级版和 Azure 存储静态网站,并将 Front Door 配置为将流量发送到静态网站。
使用 MSI 部署 Linux 或 Windows VM

部署到 Azure
使用此模板,可以使用托管服务标识部署 Linux 或 Windows VM。
在 Azure 上 Terraform

部署到 Azure
此模板允许将 Terraform 工作站部署为具有 MSI 的 Linux VM。
创建具有持久性存储 的按需 SFTP 服务器

部署到 Azure
此模板演示使用 Azure 容器实例(ACI)的按需 SFTP 服务器。
FinOps 中心

部署到 Azure
此模板创建新的 FinOps 中心实例,包括 Data Lake 存储和数据工厂。
创建新的 Datadog 组织

部署到 Azure
此模板创建新的 Datadog - Azure 本机 ISV 服务资源和 Datadog 组织,用于监视订阅中的资源。
创建磁盘 & 通过备份保管库 启用保护

部署到 Azure
用于创建磁盘并通过备份保管库启用保护的模板
创建 MySqlFlex 服务器 & 通过备份保管库 启用保护

部署到 Azure
创建 MySQL 灵活服务器的模板,并通过备份保管库启用保护
创建 PgFlex 服务器 & 通过备份保管库 启用保护

部署到 Azure
创建 PostgreSQL 灵活服务器的模板,并通过备份保管库启用保护
创建存储帐户 & 通过备份保管库 启用保护

部署到 Azure
用于创建存储帐户并通过备份保管库启用操作备份和保管库备份的模板
从存储帐户创建数据共享

部署到 Azure
此模板从存储帐户创建数据共享
配置部署环境服务

部署到 Azure
此模板提供了配置部署环境的方法。
使用内置映像 部署 Dev Box Service

部署到 Azure
此模板提供了使用内置映像部署 Dev Box 服务的方法。
配置 Dev Box 服务

部署到 Azure
根据 Dev Box 快速入门指南(https://learn.microsoft.com/azure/dev-box/quickstart-create-dev-box),此模板将创建所有 Dev Box 管理员资源。 可以查看创建的所有资源,也可以直接转到 DevPortal.microsoft.com 创建第一个 Dev Box。
使用函数和专用链接服务 Azure 数字孪生

部署到 Azure
此模板创建一个配置有虚拟网络连接的 Azure 函数的 Azure 数字孪生服务,该服务可以通过专用链接终结点与数字孪生进行通信。 它还创建专用 DNS 区域,以允许从虚拟网络到专用终结点内部子网 IP 地址的数字孪生终结点无缝主机名解析。 主机名存储为名为“ADT_ENDPOINT”的 Azure 函数的设置。
使用时间数据历史记录连接 Azure 数字孪生

部署到 Azure
此模板创建配置了时序数据历史记录连接的 Azure 数字孪生实例。 若要创建连接,必须创建其他资源,例如事件中心命名空间、事件中心、Azure 数据资源管理器群集和数据库。 数据将发送到事件中心,该事件中心最终将数据转发到 Azure 数据资源管理器群集。 数据存储在群集中的数据库表中
部署 MedTech 服务

部署到 Azure
MedTech 服务是一项 Azure Health Data Services,旨在从多个设备引入设备数据,将设备数据转换为 FHIR 观察,然后保存在 Azure Health Data Services FHIR 服务中。
部署 MedTech 服务,包括 Azure IoT 中心

部署到 Azure
MedTech 服务是一项 Azure Health Data Services,旨在从多个设备引入设备数据,将设备数据转换为 FHIR 观察,然后保存在 Azure Health Data Services FHIR 服务中。
使用 RBAC 和机密 创建 Azure Key Vault

部署到 Azure
此模板创建 Azure Key Vault 和机密。 它利用 Azure RBAC 管理对机密的授权,而不是依赖于访问策略
创建密钥保管库、托管标识和角色分配

部署到 Azure
此模板创建密钥保管库、托管标识和角色分配。
使用 Helm Azure 容器服务 (AKS)

部署到 Azure
使用 Helm 部署具有 Azure 容器服务(AKS)的托管群集
使用 Cosmos DB 连接部署 Azure 数据资源管理器 DB

部署到 Azure
使用 Cosmos DB 连接部署 Azure 数据资源管理器 DB。
使用事件网格连接部署 Azure 数据资源管理器数据库

部署到 Azure
使用事件网格连接部署 Azure 数据资源管理器数据库。
使用事件中心连接部署 Azure 数据资源管理器数据库

部署到 Azure
使用事件中心连接部署 Azure 数据资源管理器数据库。
使用 Microsoft Entra ID 身份验证 Azure AI Studio

部署到 Azure
此模板集演示如何为依赖资源(例如 Azure AI 服务和 Azure 存储)设置具有 Microsoft Entra ID 身份验证的 Azure AI Studio。
Azure AI Studio 网络受限

部署到 Azure
此模板集演示如何使用禁用专用链接和出口设置 Azure AI Studio,并使用Microsoft托管密钥进行加密和 AI 资源的Microsoft托管标识配置。
用户分配的标识角色分配模板

部署到 Azure
一个模板,用于在 Azure 机器学习工作区依赖的资源上创建用户分配的用户分配标识的角色分配
创建存储在 Azure Key Vault 中的 Azure Maps SAS 令牌

部署到 Azure
此模板部署和 Azure Maps 帐户,并根据提供的要存储在 Azure Key Vault 机密中的用户分配标识列出 Sas 令牌。
使用应用程序网关入口控制器 AKS 群集

部署到 Azure
此示例演示如何使用应用程序网关、应用程序网关入口控制器、Azure 容器注册表、Log Analytics 和 Key Vault 部署 AKS 群集
使用 Azure 防火墙作为中心 & 辐射型拓扑中的 DNS 代理

部署到 Azure
此示例演示如何使用 Azure 防火墙在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多辐射虚拟网络的中心点。
使用 ACR 任务 生成容器映像

部署到 Azure
此模板使用 DeploymentScript 来协调 ACR,以便从代码存储库生成容器映像。
将容器映像导入 ACR

部署到 Azure
此模板利用 bicep 注册表中的 Import ACR 模块将公共容器映像导入 Azure 容器注册表。
使用证书创建应用程序网关

部署到 Azure
此模板演示如何生成 Key Vault 自签名证书,然后从应用程序网关引用。
创建 ssh 密钥并将其存储在 KeyVault

部署到 Azure
此模板使用 deploymentScript 资源生成 ssh 密钥,并将私钥存储在 keyVault 中。
Azure SQL Server,其中审核写入 Blob 存储

部署到 Azure
使用此模板可以部署启用了审核的 Azure SQL Server,以便将审核日志写入 Blob 存储
部署静态网站

部署到 Azure
使用支持存储帐户部署静态网站
Azure Synapse 概念证明

部署到 Azure
此模板为 Azure Synapse 创建概念证明环境,包括 SQL 池和可选的 Apache Spark 池
使用事件中心和托管标识 Azure Function App

部署到 Azure
他的模板在 Linux 消耗计划上预配 Azure 函数应用,以及事件中心、Azure 存储和 Application Insights。 函数应用能够使用托管标识连接到事件中心和存储帐户
使用托管标识、SQL Server 和 ΑΙ Web 应用

部署到 Azure
为应用 + 数据 + 托管标识 + 监视部署 Azure 基础结构的简单示例
创建 Azure 本机 New Relic 资源

部署到 Azure
此模板设置“Azure Native New Relic 服务”来监视 Azure 订阅中的资源。
创建 resourceGroup,应用锁和 RBAC

部署到 Azure
此模板是一个订阅级模板,用于创建 resourceGroup、应用对 resourceGroup 的锁定并将参与者 permssion 分配给提供的 principalId。 目前,无法通过 Azure 门户部署此模板。
创建 Azure 虚拟网络管理器和示例 VNET

部署到 Azure
此模板将 Azure 虚拟网络管理器和示例虚拟网络部署到命名资源组中。 它支持多个连接拓扑和网络组成员身份类型。
在订阅范围分配角色

部署到 Azure
此模板是一个订阅级模板,将在订阅范围内分配角色。
在租户范围内分配角色

部署到 Azure
此模板是一个租户级模板,它将在租户范围内将角色分配给提供的主体。 部署模板的用户必须在租户范围内分配所有者角色。

ARM 模板资源定义

roleAssignments 资源类型是 扩展资源,这意味着你可以将其应用到另一个资源。

使用此资源的 scope 属性设置此资源的范围。 请参阅 在 ARM 模板中设置扩展资源的范围。

可以使用目标操作部署 roleAssignments 资源类型:

有关每个 API 版本中已更改属性的列表,请参阅 更改日志

言论

有关创建角色分配和定义的指导,请参阅 使用 Bicep创建 Azure RBAC 资源。

资源格式

若要创建 Microsoft.Authorization/roleAssignments 资源,请将以下 JSON 添加到模板。

{
  "type": "Microsoft.Authorization/roleAssignments",
  "apiVersion": "2022-04-01",
  "name": "string",
  "scope": "string" or "/",
  "properties": {
    "condition": "string",
    "conditionVersion": "string",
    "delegatedManagedIdentityResourceId": "string",
    "description": "string",
    "principalId": "string",
    "principalType": "string",
    "roleDefinitionId": "string"
  }
}

属性值

roleAssignments

名字 描述 价值
类型 资源类型 “Microsoft.Authorization/roleAssignments”
apiVersion 资源 API 版本 '2022-04-01'
名字 资源名称 string (必需)

字符限制:36

有效字符:
必须是全局唯一标识符(GUID)。

资源名称在租户中必须唯一。
范围 在与部署范围不同的范围内创建扩展资源时使用。 目标资源

对于 JSON,请将该值设置为资源全名,以将 扩展资源 应用到该资源。

此资源类型也可以应用于租户。
对于 JSON,请使用 "/"
性能 角色分配属性。 RoleAssignmentProperties(必需)

RoleAssignmentProperties

名字 描述 价值
条件 角色分配的条件。 这会限制可分配给的资源。例如:@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase “foo_storage_container” 字符串
conditionVersion 条件的版本。 目前唯一接受的值为“2.0” 字符串
delegatedManagedIdentityResourceId 委派托管标识资源的 ID 字符串
描述 角色分配的说明 字符串
principalId 主体 ID。 string (必需)
principalType 分配的主体 ID 的主体类型。 “Device”
“ForeignGroup”
“Group”
“ServicePrincipal”
“User”
roleDefinitionId 角色定义 ID。 string (必需)

快速入门模板

以下快速入门模板部署此资源类型。

模板 描述
部署 Darktrace 自动缩放 vSensors

部署到 Azure
此模板允许你部署 Darktrace vSensors 的自动自动缩放部署
BrowserBox Azure Edition

部署到 Azure
此模板在 Azure Ubuntu Server 22.04 LTS、Debian 11 或 RHEL 8.7 LVM VM 上部署 BrowserBox。
Hazelcast 群集

部署到 Azure
Hazelcast 是一个内存中数据平台,可用于各种数据应用程序。 此模板将部署任意数量的 Hazelcast 节点,它们将自动发现彼此。
Ibm Cloud Pak for Data on Azure

部署到 Azure
此模板在 Azure 上部署一个 Openshift 群集,其中包含所有必需的资源、基础结构,然后部署 IBM Cloud Pak for Data 以及用户选择的加载项。
min.io Azure 网关

部署到 Azure
完全专用 min.io Azure 网关部署,以提供受 Blob 存储支持的符合 S3 的存储 API
为 SAP ILM 存储 部署存储帐户

部署到 Azure
Microsoft Azure 存储帐户现在可用作 ILM 存储,用于保存 SAP ILM 系统中的存档文件和附件。 ILM 存储是满足 SAP ILM 兼容存储系统要求的组件。 可以使用 WebDAV 接口标准将存档文件存储在存储介质中,同时使用 SAP ILM 保留管理规则。 有关 SAP ILM 存储的详细信息,请参阅 SAP 帮助门户
创建 WordPress 网站

部署到 Azure
此模板在容器实例上创建 WordPress 站点
使用 NAT 网关和应用程序网关 AKS 群集

部署到 Azure
此示例演示如何使用 NAT 网关部署 AKS 群集进行出站连接,以及如何为入站连接部署应用程序网关。
Azure Cloud Shell - VNet

部署到 Azure
此模板将 Azure Cloud Shell 资源部署到 Azure 虚拟网络。
使用 Azure Windows 基线 Azure 映像生成器

部署到 Azure
创建 Azure 映像生成器环境,并生成应用最新 Windows 更新和 Azure Windows 基线的 Windows Server 映像。
使用公共 DNS 区域创建专用 AKS 群集

部署到 Azure
此示例演示如何使用公共 DNS 区域部署专用 AKS 群集。
在 Azure 体系结构 上部署体育分析

部署到 Azure
创建启用了 ADLS Gen 2 的 Azure 存储帐户、存储帐户的链接服务的 Azure 数据工厂实例(如果已部署的 Azure SQL 数据库)和 Azure Databricks 实例。 将为部署模板的用户的 AAD 标识以及 ADF 实例的托管标识授予存储帐户上的存储 Blob 数据参与者角色。 还有一些选项可用于部署 Azure Key Vault 实例、Azure SQL 数据库和 Azure 事件中心(用于流式处理用例)。 部署 Azure Key Vault 后,将为部署模板的用户提供数据工厂托管标识和 AAD 标识,并被授予 Key Vault 机密用户角色。
从 ZIP 存档 URL 导入 VHD Blob

部署到 Azure
基于专用磁盘映像部署虚拟机需要将 VHD 文件导入存储帐户。 如果单个 ZIP 中压缩了多个 VHD 文件,并且获取了用于提取 ZIP 存档的 URL,则此 ARM 模板将简化作业:下载、提取和导入到现有存储帐户 Blob 容器中。
创建用户分配的托管标识和角色分配

部署到 Azure
通过此模块,可以创建用户分配的托管标识和限定为资源组的角色分配。
从 KeyVault 使用 SSL 创建 API 管理服务

部署到 Azure
此模板部署配置有用户分配标识的 API 管理服务。 它使用此标识从 KeyVault 提取 SSL 证书,并通过每隔 4 小时检查一次来更新它。
使用注册表 创建容器应用和环境

部署到 Azure
使用 Azure 容器注册表中的基本容器应用创建容器应用环境。 它还部署 Log Analytics 工作区来存储日志。
使用容器应用创建 Dapr pub-sub servicebus 应用

部署到 Azure
使用容器应用创建 Dapr pub-sub servicebus 应用。
部署简单的 Azure Spring Apps 微服务应用程序

部署到 Azure
此模板部署一个简单的 Azure Spring Apps 微服务应用程序,以在 Azure 上运行。
RBAC - 为资源组中的多个现有 VM 授予内置角色访问权限

部署到 Azure
此模板授予对资源组中多个现有 VM 的适用基于角色的访问权限
将 RBAC 角色分配给资源组

部署到 Azure
此模板为现有资源组分配所有者、读者或参与者访问权限。
RBAC - 现有 VM

部署到 Azure
此模板授予对资源组中现有 VM 的适用角色访问权限
RBAC - 在 Azure Maps 帐户上创建托管标识访问

部署到 Azure
此模板创建托管标识,并向其分配对已创建的 Azure Maps 帐户的访问权限。
为 azure 业务连续性项创建警报规则

部署到 Azure
此模板创建警报规则和用户分配的 MSI。 它还向订阅分配 MSI 读取器访问权限,以便警报规则有权查询所需的受保护项和最新的恢复点详细信息。
创建 Azure Stack HCI 23H2 群集

部署到 Azure
此模板使用 ARM 模板创建 Azure Stack HCI 23H2 群集。
创建 Azure Stack HCI 23H2 群集

部署到 Azure
此模板使用 ARM 模板(使用自定义存储 IP)创建 Azure Stack HCI 23H2 群集
在无交换机-双链路网络模式下创建 Azure Stack HCI 23H2 群集

部署到 Azure
此模板使用 ARM 模板创建 Azure Stack HCI 23H2 群集。
在 Switchless-SingleLink 网络模式下创建 Azure Stack HCI 23H2 群集

部署到 Azure
此模板使用 ARM 模板创建 Azure Stack HCI 23H2 群集。
使用静态网站源 Front Door 标准版/高级版

部署到 Azure
此模板创建 Front Door 标准版/高级版和 Azure 存储静态网站,并将 Front Door 配置为将流量发送到静态网站。
使用 MSI 部署 Linux 或 Windows VM

部署到 Azure
使用此模板,可以使用托管服务标识部署 Linux 或 Windows VM。
在 Azure 上 Terraform

部署到 Azure
此模板允许将 Terraform 工作站部署为具有 MSI 的 Linux VM。
创建具有持久性存储 的按需 SFTP 服务器

部署到 Azure
此模板演示使用 Azure 容器实例(ACI)的按需 SFTP 服务器。
FinOps 中心

部署到 Azure
此模板创建新的 FinOps 中心实例,包括 Data Lake 存储和数据工厂。
创建新的 Datadog 组织

部署到 Azure
此模板创建新的 Datadog - Azure 本机 ISV 服务资源和 Datadog 组织,用于监视订阅中的资源。
创建磁盘 & 通过备份保管库 启用保护

部署到 Azure
用于创建磁盘并通过备份保管库启用保护的模板
创建 MySqlFlex 服务器 & 通过备份保管库 启用保护

部署到 Azure
创建 MySQL 灵活服务器的模板,并通过备份保管库启用保护
创建 PgFlex 服务器 & 通过备份保管库 启用保护

部署到 Azure
创建 PostgreSQL 灵活服务器的模板,并通过备份保管库启用保护
创建存储帐户 & 通过备份保管库 启用保护

部署到 Azure
用于创建存储帐户并通过备份保管库启用操作备份和保管库备份的模板
从存储帐户创建数据共享

部署到 Azure
此模板从存储帐户创建数据共享
配置部署环境服务

部署到 Azure
此模板提供了配置部署环境的方法。
使用内置映像 部署 Dev Box Service

部署到 Azure
此模板提供了使用内置映像部署 Dev Box 服务的方法。
配置 Dev Box 服务

部署到 Azure
根据 Dev Box 快速入门指南(https://learn.microsoft.com/azure/dev-box/quickstart-create-dev-box),此模板将创建所有 Dev Box 管理员资源。 可以查看创建的所有资源,也可以直接转到 DevPortal.microsoft.com 创建第一个 Dev Box。
使用函数和专用链接服务 Azure 数字孪生

部署到 Azure
此模板创建一个配置有虚拟网络连接的 Azure 函数的 Azure 数字孪生服务,该服务可以通过专用链接终结点与数字孪生进行通信。 它还创建专用 DNS 区域,以允许从虚拟网络到专用终结点内部子网 IP 地址的数字孪生终结点无缝主机名解析。 主机名存储为名为“ADT_ENDPOINT”的 Azure 函数的设置。
使用时间数据历史记录连接 Azure 数字孪生

部署到 Azure
此模板创建配置了时序数据历史记录连接的 Azure 数字孪生实例。 若要创建连接,必须创建其他资源,例如事件中心命名空间、事件中心、Azure 数据资源管理器群集和数据库。 数据将发送到事件中心,该事件中心最终将数据转发到 Azure 数据资源管理器群集。 数据存储在群集中的数据库表中
部署 MedTech 服务

部署到 Azure
MedTech 服务是一项 Azure Health Data Services,旨在从多个设备引入设备数据,将设备数据转换为 FHIR 观察,然后保存在 Azure Health Data Services FHIR 服务中。
部署 MedTech 服务,包括 Azure IoT 中心

部署到 Azure
MedTech 服务是一项 Azure Health Data Services,旨在从多个设备引入设备数据,将设备数据转换为 FHIR 观察,然后保存在 Azure Health Data Services FHIR 服务中。
使用 RBAC 和机密 创建 Azure Key Vault

部署到 Azure
此模板创建 Azure Key Vault 和机密。 它利用 Azure RBAC 管理对机密的授权,而不是依赖于访问策略
创建密钥保管库、托管标识和角色分配

部署到 Azure
此模板创建密钥保管库、托管标识和角色分配。
使用 Helm Azure 容器服务 (AKS)

部署到 Azure
使用 Helm 部署具有 Azure 容器服务(AKS)的托管群集
使用 Cosmos DB 连接部署 Azure 数据资源管理器 DB

部署到 Azure
使用 Cosmos DB 连接部署 Azure 数据资源管理器 DB。
使用事件网格连接部署 Azure 数据资源管理器数据库

部署到 Azure
使用事件网格连接部署 Azure 数据资源管理器数据库。
使用事件中心连接部署 Azure 数据资源管理器数据库

部署到 Azure
使用事件中心连接部署 Azure 数据资源管理器数据库。
使用 Microsoft Entra ID 身份验证 Azure AI Studio

部署到 Azure
此模板集演示如何为依赖资源(例如 Azure AI 服务和 Azure 存储)设置具有 Microsoft Entra ID 身份验证的 Azure AI Studio。
Azure AI Studio 网络受限

部署到 Azure
此模板集演示如何使用禁用专用链接和出口设置 Azure AI Studio,并使用Microsoft托管密钥进行加密和 AI 资源的Microsoft托管标识配置。
用户分配的标识角色分配模板

部署到 Azure
一个模板,用于在 Azure 机器学习工作区依赖的资源上创建用户分配的用户分配标识的角色分配
创建存储在 Azure Key Vault 中的 Azure Maps SAS 令牌

部署到 Azure
此模板部署和 Azure Maps 帐户,并根据提供的要存储在 Azure Key Vault 机密中的用户分配标识列出 Sas 令牌。
使用应用程序网关入口控制器 AKS 群集

部署到 Azure
此示例演示如何使用应用程序网关、应用程序网关入口控制器、Azure 容器注册表、Log Analytics 和 Key Vault 部署 AKS 群集
使用 Azure 防火墙作为中心 & 辐射型拓扑中的 DNS 代理

部署到 Azure
此示例演示如何使用 Azure 防火墙在 Azure 中部署中心辐射型拓扑。 中心虚拟网络充当通过虚拟网络对等互连连接到中心虚拟网络的许多辐射虚拟网络的中心点。
使用 ACR 任务 生成容器映像

部署到 Azure
此模板使用 DeploymentScript 来协调 ACR,以便从代码存储库生成容器映像。
将容器映像导入 ACR

部署到 Azure
此模板利用 bicep 注册表中的 Import ACR 模块将公共容器映像导入 Azure 容器注册表。
使用证书创建应用程序网关

部署到 Azure
此模板演示如何生成 Key Vault 自签名证书,然后从应用程序网关引用。
创建 ssh 密钥并将其存储在 KeyVault

部署到 Azure
此模板使用 deploymentScript 资源生成 ssh 密钥,并将私钥存储在 keyVault 中。
Azure SQL Server,其中审核写入 Blob 存储

部署到 Azure
使用此模板可以部署启用了审核的 Azure SQL Server,以便将审核日志写入 Blob 存储
部署静态网站

部署到 Azure
使用支持存储帐户部署静态网站
Azure Synapse 概念证明

部署到 Azure
此模板为 Azure Synapse 创建概念证明环境,包括 SQL 池和可选的 Apache Spark 池
使用事件中心和托管标识 Azure Function App

部署到 Azure
他的模板在 Linux 消耗计划上预配 Azure 函数应用,以及事件中心、Azure 存储和 Application Insights。 函数应用能够使用托管标识连接到事件中心和存储帐户
使用托管标识、SQL Server 和 ΑΙ Web 应用

部署到 Azure
为应用 + 数据 + 托管标识 + 监视部署 Azure 基础结构的简单示例
创建 Azure 本机 New Relic 资源

部署到 Azure
此模板设置“Azure Native New Relic 服务”来监视 Azure 订阅中的资源。
创建 resourceGroup,应用锁和 RBAC

部署到 Azure
此模板是一个订阅级模板,用于创建 resourceGroup、应用对 resourceGroup 的锁定并将参与者 permssion 分配给提供的 principalId。 目前,无法通过 Azure 门户部署此模板。
创建 Azure 虚拟网络管理器和示例 VNET

部署到 Azure
此模板将 Azure 虚拟网络管理器和示例虚拟网络部署到命名资源组中。 它支持多个连接拓扑和网络组成员身份类型。
在订阅范围分配角色

部署到 Azure
此模板是一个订阅级模板,将在订阅范围内分配角色。
在租户范围内分配角色

部署到 Azure
此模板是一个租户级模板,它将在租户范围内将角色分配给提供的主体。 部署模板的用户必须在租户范围内分配所有者角色。

Terraform (AzAPI 提供程序)资源定义

roleAssignments 资源类型是 扩展资源,这意味着你可以将其应用到另一个资源。

使用此资源的 parent_id 属性设置此资源的范围。

可以使用目标操作部署 roleAssignments 资源类型:

  • 资源组
  • 订阅
  • 管理组
  • 租户

有关每个 API 版本中已更改属性的列表,请参阅 更改日志

资源格式

若要创建 Microsoft.Authorization/roleAssignments 资源,请将以下 Terraform 添加到模板。

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Authorization/roleAssignments@2022-04-01"
  name = "string"
  parent_id = "string"
  body = jsonencode({
    properties = {
      condition = "string"
      conditionVersion = "string"
      delegatedManagedIdentityResourceId = "string"
      description = "string"
      principalId = "string"
      principalType = "string"
      roleDefinitionId = "string"
    }
  })
}

属性值

roleAssignments

名字 描述 价值
类型 资源类型 “Microsoft.Authorization/roleAssignments@2022-04-01”
名字 资源名称 string (必需)

字符限制:36

有效字符:
必须是全局唯一标识符(GUID)。

资源名称在租户中必须唯一。
parent_id 要向其应用此扩展资源的资源的 ID。 string (必需)
性能 角色分配属性。 RoleAssignmentProperties(必需)

RoleAssignmentProperties

名字 描述 价值
条件 角色分配的条件。 这会限制可分配给的资源。例如:@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase “foo_storage_container” 字符串
conditionVersion 条件的版本。 目前唯一接受的值为“2.0” 字符串
delegatedManagedIdentityResourceId 委派托管标识资源的 ID 字符串
描述 角色分配的说明 字符串
principalId 主体 ID。 string (必需)
principalType 分配的主体 ID 的主体类型。 “设备”
“ForeignGroup”
“Group”
“ServicePrincipal”
“User”
roleDefinitionId 角色定义 ID。 string (必需)