練習 - 檢視及管理 Azure 自訂角色
在本單元中,您將會檢視、更新並刪除在上一個練習中建立的 Azure 自訂角色。
在入口網站中檢視自訂角色
讓我們使用 Azure 入口網站來查看訂用帳戶中的自訂角色。
使用您在上一個練習中使用的相同帳戶來登入 Azure 入口網站。
從 Azure 入口網站的頂端搜尋訂用帳戶並加以選取。
選取與自訂角色建立關聯的訂用帳戶。
選取 [存取控制 (IAM)]>[角色]。
選取 [類型]>[CustomRole]。
您將會取得組織中所有自訂角色的清單。
更新自訂角色
我們需要更新虛擬機器操作員角色來新增監視作業的權限。 我們會更新該自訂角色以包含動作 Microsoft.Insights/diagnosticSettings/。
從 Azure 入口網站的右上方選取 Cloud Shell。
在 Cloud Shell 中鍵入 code。
將下方定義貼入編輯器中。
{ "Name": "Virtual Machine Operator", "IsCustom": true, "Description": "Can monitor and restart virtual machines.", "Actions": [ "Microsoft.Storage/*/read", "Microsoft.Network/*/read", "Microsoft.Compute/*/read", "Microsoft.Compute/virtualMachines/start/action", "Microsoft.Compute/virtualMachines/restart/action", "Microsoft.Authorization/*/read", "Microsoft.ResourceHealth/availabilityStatuses/read", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Insights/alertRules/*", "Microsoft.Insights/diagnosticSettings/*", "Microsoft.Support/*" ], "NotActions": [], "DataActions": [], "NotDataActions": [], "AssignableScopes": [ "/subscriptions/subscriptionId1" ] }在
AssignableScopes區段中,以您的訂用帳戶識別碼取代 subscriptionId1。 如果您沒有在上一個練習中儲存該值,請執行下列命令來取得該值:az account list --output json | jq '.[] | .id, .name'從 Cloud Shell 窗格右上方的三點功能表選取 [儲存] (或是在 Windows 中按 CTRL + S、在 macOS 中按 CMD + S)。
輸入 vm-operator-role-new.json 作為檔案名稱,然後選取 [儲存]。
從 Cloud Shell 窗格右上方的三點功能表選取 [關閉編輯器] (或是在 Windows 中按 CTRL + Q、在 macOS 中按 CMD + Q)。
執行下列命令以更新虛擬機器操作員自訂角色:
az role definition update --role-definition vm-operator-role-new.json執行下列命令以確認已更新角色定義:
az role definition list --name "Virtual Machine Operator" --output json | jq '.[] | .permissions[0].actions'
刪除自訂角色
如果您認為不再需要自訂角色,則必須先移除角色指派,才能刪除角色。
執行下列命令以移除自訂角色的角色指派:
az role assignment delete --role "Virtual Machine Operator"執行下列命令以刪除自訂角色定義:
az role definition delete --name "Virtual Machine Operator"執行下列命令以確認角色是否已消失。 如果該角色仍列出,請稍候一分鐘,並再執行一次命令:
az role definition list --custom-role-only true