使用 Azure 入口網站建立或更新 Azure 自訂角色

如果 Azure 內建角色 不符合組織的特定需求，您可以建立自己的 Azure 自訂角色。 就像內建角色一樣，您可以將自訂角色指派給管理群組、訂用帳戶和資源群組範圍中的使用者、群組和服務主體。 自訂角色會儲存在 Microsoft Entra 目錄中，而且可以跨訂用帳戶共用。 每個目錄最多可以有 5000 個自訂角色。 您可以使用 Azure 入口網站、Azure PowerShell、Azure CLI 或 REST API 來建立自訂角色。 本文說明如何使用Azure 入口網站建立自訂角色。

必要條件

若要建立自訂角色，您需要：

• 建立自訂角色的許可權，例如 擁有者 或 使用者存取管理員istrator

步驟 1：判斷您需要的許可權

Azure 有數千個許可權，您可以納入自訂角色。 以下是一些可協助您判斷要新增至自訂角色的許可權的方法：

• 查看現有的 內建角色 。
• 列出您想要授與存取權的 Azure 服務。
• 判斷對應 至 Azure 服務 的資源提供者。 稍後會在步驟 4：許可權 中 描述搜尋方法。
• 搜尋可用的許可權 ，以尋找您想要包含的許可權。 稍後會在步驟 4：許可權 中 描述搜尋方法。

步驟 2：選擇如何啟動

有三種方式可以開始建立自訂角色。 您可以複製現有的角色、從頭開始，或從 JSON 檔案開始。 最簡單的方式是尋找具有您所需大部分許可權的現有角色，然後針對您的案例加以複製和修改。

複製角色

如果現有的角色沒有您需要的許可權，您可以複製它，然後修改許可權。 請遵循下列步驟來開始複製角色。

1. 在Azure 入口網站中，開啟您想要指派自訂角色的管理群組、訂用帳戶或資源群組，然後開啟 存取控制 （IAM） 。

   下列螢幕擷取畫面顯示針對訂用帳戶開啟的存取控制 （IAM） 頁面。

   

2. 按一下 [角色] 索引標籤以查看所有內建與自訂角色清單。

3. 搜尋您想要複製的角色，例如「帳單讀者」角色。

4. 按一下資料列末端的省略符號 ( ... )，然後按一下 [複製]。

   

   這會開啟自訂角色編輯器，並選取 [ 複製角色 ] 選項。

5. 繼續進行步驟 3：基本概念 。

從頭開始

如果您想要的話，您可以依照下列步驟從頭開始啟動自訂角色。

1. 在Azure 入口網站中，開啟您想要指派自訂角色的管理群組、訂用帳戶或資源群組，然後開啟 存取控制 （IAM） 。

2. 按一下 [ 新增 ]，然後按一下 [ 新增自訂角色 ]。

   

   這會開啟自訂角色編輯器，並選取 [ 從頭 開始] 選項。

3. 繼續進行步驟 3：基本概念 。

從 JSON 開始

如果您想要的話，您可以在 JSON 檔案中指定大部分的自訂角色值。 您可以在自訂角色編輯器中開啟檔案、進行其他變更，然後建立自訂角色。 請遵循下列步驟來開始使用 JSON 檔案。

1. 建立具有下列格式的 JSON 檔案：

   {
       "properties": {
           "roleName": "",
           "description": "",
           "assignableScopes": [],
           "permissions": [
               {
                   "actions": [],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

2. 在 JSON 檔案中，指定各種屬性的值。 以下是已新增一些值的範例。 如需不同屬性的相關資訊，請參閱 瞭解 Azure 角色定義 。

   {
       "properties": {
           "roleName": "Billing Reader Plus",
           "description": "Read billing data and download invoices",
           "assignableScopes": [
               "/subscriptions/11111111-1111-1111-1111-111111111111"
           ],
           "permissions": [
               {
                   "actions": [
                       "Microsoft.Authorization/*/read",
                       "Microsoft.Billing/*/read",
                       "Microsoft.Commerce/*/read",
                       "Microsoft.Consumption/*/read",
                       "Microsoft.Management/managementGroups/read",
                       "Microsoft.CostManagement/*/read",
                       "Microsoft.Support/*"
                   ],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

3. 在Azure 入口網站中，開啟 [存取控制][IAM] 頁面。

4. 按一下 [ 新增 ]，然後按一下 [ 新增自訂角色 ]。

   

   這會開啟自訂角色編輯器。

5. 在 [基本] 索引標籤的 [基準許可權] 中 ，選取 [ 從 JSON 開始]。

6. 在 [選取檔案] 方塊旁，按一下資料夾按鈕以開啟 [開啟] 對話方塊。

7. 選取您的 JSON 檔案，然後按一下 [ 開啟 ]。

8. 繼續進行步驟 3：基本概念 。

步驟 3：基本概念

在 [ 基本] 索引 標籤上，您可以指定自訂角色的名稱、描述和基準許可權。

1. 在 [ 自訂角色名稱] 方塊中，指定自訂角色的名稱。 Microsoft Entra 目錄的名稱必須是唯一的。 名稱可以包含字母、數位、空格和特殊字元。

2. 在 [ 描述] 方塊中，指定自訂角色的選擇性描述。 這會成為自訂角色的工具提示。

   [基準許可權] 選項應該已經根據上一個步驟來設定，但您可以變更。

   

步驟 4：許可權

在 [ 許可權] 索引標籤上，您可以指定自訂角色的許可權。 視您複製角色或開始使用 JSON 而定，[許可權] 索引標籤可能已經列出一些許可權。

新增或移除許可權

請遵循下列步驟來新增或移除自訂角色的許可權。

1. 若要新增許可權，請按一下 [新增許可權 ] 以開啟 [新增許可權] 窗格。

   此窗格會列出以卡片格式分組為不同類別的所有可用許可權。 每個類別都 代表資源提供者 ，這是提供 Azure 資源的服務。

2. 在 [ 搜尋許可權 ] 方塊中，輸入要搜尋許可權的字串。 例如，搜尋 發票 以尋找與發票相關的許可權。

   資源提供者卡片清單會根據您的搜尋字串顯示。 如需資源提供者如何對應至 Azure 服務的清單，請參閱 Azure 服務 的資源提供者。

   

3. 按一下可能具有您想要新增至自訂角色之許可權的資源提供者卡片，例如 Microsoft Billing 。

   該資源提供者的管理許可權清單會根據您的搜尋字串顯示。

   

4. 如果您要尋找套用至資料平面的許可權，請按一下 [ 資料動作 ]。 否則，將動作切換設定為 [動作 ] 以列出套用至控制平面的許可權。 如需控制平面和資料平面差異的詳細資訊，請參閱 控制項和資料動作 。

5. 如有必要，請更新搜尋字串，以進一步精簡您的搜尋。

6. 一旦您找到想要新增至自訂角色的一或多個許可權，請在許可權旁邊新增核取記號。 例如，在 [其他]：[下載發票 ] 旁 新增核取記號，以新增下載發票的許可權。

7. 按一下 [ 新增 ] 將許可權新增至您的許可權清單。

   許可權會新增為 Actions 或 DataActions 。

   

8. 若要移除許可權，請按一下資料列結尾的刪除圖示。 在此範例中，由於使用者不需要建立支援票證的能力， Microsoft.Support/* 因此可以刪除許可權。

新增萬用字元許可權

視您選擇如何開始而定，您的許可權清單中可能有萬用字元 （ * ） 的許可權。 萬用字元 （ * ） 會將許可權延伸至符合您提供的動作字串的所有專案。 例如，下列萬用字元字串會新增與 Azure 成本管理和匯出相關的擁有權限。 這也包括可能新增的任何未來匯出許可權。

Microsoft.CostManagement/exports/*

如果您想要新增萬用字元許可權，您無法使用 [新增許可權 ] 窗格加以新增。 若要新增萬用字元許可權，您必須使用 [JSON ] 索引標籤手動新增它。如需詳細資訊，請參閱 步驟 6：JSON 。

注意

建議您明確指定 Actions ， DataActions 而不是使用萬用字元 （ * ） 字元。 透過未來 Actions 授與的其他存取權和許可權，或使用 DataActions 萬用字元可能不想要的行為。

排除許可權

如果您的角色具有萬用字元 （ * ） 許可權，而且您想要從該萬用字元許可權中排除或減去特定許可權，您可以加以排除。 例如，假設您具有下列萬用字元許可權：

Microsoft.CostManagement/exports/*

如果您不想允許刪除匯出，您可以排除下列刪除許可權：

Microsoft.CostManagement/exports/delete

當您排除許可權時，它會新增為 NotActions 或 NotDataActions 。 藉由新增 所有 Actions ，然後減去所有 NotActions ，即可計算有效的管理許可權。 藉由新增 所有 ， DataActions 然後減去所有 NotDataActions ，即可計算有效的資料許可權。

注意

排除許可權與拒絕不同。 排除許可權只是從萬用字元許可權減去許可權的便利方式。

1. 若要從允許的萬用字元許可權中排除或減去許可權，請按一下 [ 排除許可權 ] 以開啟 [排除許可權] 窗格。

   在此窗格中，您可以指定排除或減去的管理或資料許可權。

2. 一旦找到您想要排除的一或多個許可權，請在許可權旁邊新增核取記號，然後按一下 [ 新增 ] 按鈕。

   

   許可權會新增為 NotActions 或 NotDataActions 。

   

步驟 5：可指派的範圍

在 [ 可指派的範圍] 索引 標籤上，您可以指定自訂角色可供指派的位置，例如管理群組、訂用帳戶或資源群組。 根據您選擇啟動的方式，此索引標籤可能已經列出您開啟存取控制 （IAM） 頁面的範圍。

您只能在可指派的範圍中定義一個管理群組。 不支援將可指派的範圍設定為根範圍 （「/」）。

1. 按一下 [新增可指派的範圍 ] 以開啟 [新增可指派的範圍] 窗格。

   

2. 按一下您想要使用的一或多個範圍，通常是您的訂用帳戶。

   

3. 按一下 [ 新增 ] 按鈕以新增可指派的範圍。

步驟 6：JSON

在 [JSON] 索引 標籤上，您會看到以 JSON 格式化的自訂角色。 如有需要，您可以直接編輯 JSON。

1. 若要編輯 JSON，請按一下 [ 編輯 ]。

   

2. 對 JSON 進行變更。

   如果 JSON 格式不正確，您會看到紅色鋸齒狀線和垂直溝線中的指標。

3. 完成編輯後，按一下 [ 儲存 ]。

步驟 7：檢閱 + 建立

在 [ 檢閱 + 建立] 索引標籤上，您可以檢閱自訂角色設定。

1. 檢閱您的自訂角色設定。

   

2. 按一下 [ 建立] 以建立您的自訂角色。

   幾分鐘後，會出現訊息方塊，指出您的自訂角色已成功建立。

   

   如果偵測到任何錯誤，則會顯示訊息。

   

3. 在 [ 角色 ] 清單中檢視新的自訂角色。 如果您沒有看到自訂角色，請按一下 [ 重新整理 ]。

   您的自訂角色可能需要幾分鐘的時間才會出現在任何地方。

列出自訂角色

請遵循下列步驟來檢視您的自訂角色。

1. 開啟管理群組、訂用帳戶或資源群組，然後開啟 存取控制 （IAM） 。

2. 按一下 [角色] 索引標籤以查看所有內建與自訂角色清單。

3. 在 [ 類型 ] 清單中，選取 [CustomRole ]，只查看您的自訂角色。

   如果您剛建立自訂角色，且未在清單中看到，請按一下 [ 重新整理 ]。

   

更新自訂角色

1. 如本文稍早所述，開啟您的自訂角色清單。

2. 按一下您要更新之自訂角色的省略號 （ ... ），然後按一下 [ 編輯 ]。 請注意，您無法更新內建角色。

   自訂角色會在編輯器中開啟。

   

3. 請使用不同的索引標籤來更新自訂角色。

4. 完成變更之後，請按一下 [ 檢閱 + 建立] 索引標籤來檢閱您的變更。

5. 按一下 [ 更新] 按鈕以更新您的自訂角色。

刪除自訂角色

1. 移除任何使用自訂角色的角色指派。 如需詳細資訊，請參閱 尋找刪除自訂角色的角色 指派。

2. 如本文稍早所述，開啟您的自訂角色清單。

3. 按一下您要刪除之自訂角色的省略號 （ ... ），然後按一下 [ 刪除 ]。

   

   自訂角色可能需要幾分鐘的時間才能完全刪除。

下一步

• 教學課程：使用 Azure PowerShell 建立 Azure 自訂角色
• Azure 自訂角色 (機器翻譯)
• Azure 資源提供者作業