Skapa eller uppdatera anpassade Azure-roller med hjälp av Azure-portalen
Om de inbyggda Azure-rollerna inte uppfyller organisationens specifika behov kan du skapa egna anpassade Azure-roller. Precis som med inbyggda roller kan du tilldela anpassade roller till användare, grupper och tjänstens huvudnamn i hanteringsgrupps-, prenumerations- och resursgruppsomfång. Anpassade roller lagras i en Microsoft Entra-katalog och kan delas mellan prenumerationer. Varje katalog kan ha upp till 5 000 anpassade roller. Anpassade roller kan skapas med hjälp av Azure-portalen, Azure PowerShell, Azure CLI eller REST-API:et. Den här artikeln beskriver hur du skapar anpassade roller med hjälp av Azure-portalen.
Förutsättningar
Om du vill skapa anpassade roller behöver du:
- Behörigheter att skapa anpassade roller som Owner (Ägare) eller User Access Administrator (Administratör för användaråtkomst)
Steg 1: Fastställa vilka behörigheter du behöver
Azure har tusentals behörigheter som du kan inkludera i din anpassade roll. Här följer några metoder som kan hjälpa dig att avgöra vilka behörigheter du vill lägga till i din anpassade roll:
- Titta på befintliga inbyggda roller.
- Visa en lista över de Azure-tjänster som du vill bevilja åtkomst till.
- Fastställa vilka resursprovidrar som mappar till Azure-tjänsterna. En sökmetod beskrivs senare i Steg 4: Behörigheter.
- Sök igenom de tillgängliga behörigheterna för att hitta de behörigheter som du vill inkludera. En sökmetod beskrivs senare i Steg 4: Behörigheter.
Steg 2: Välj hur du ska börja
Det finns tre sätt att börja skapa en anpassad roll. Du kan klona en befintlig roll, börja från början eller börja med en JSON-fil. Det enklaste sättet är att hitta en befintlig roll som har de flesta behörigheter som du behöver och sedan klona och ändra den för ditt scenario.
Klona en roll
Om en befintlig roll inte riktigt har de behörigheter du behöver kan du klona den och sedan ändra behörigheterna. Följ de här stegen för att börja klona en roll.
I Azure-portalen öppnar du en hanteringsgrupp, prenumeration eller resursgrupp där du vill att den anpassade rollen ska kunna tilldelas och öppnar sedan Åtkomstkontroll (IAM)..
Följande skärmbild visar sidan Åtkomstkontroll (IAM) som öppnats för en prenumeration.
Välj fliken Roller för att visa en lista med alla inbyggda och anpassade roller.
Sök efter en roll som du vill klona, till exempel rollen Faktureringsläsare.
I slutet av raden klickar du på ellipsen ( ... ) och sedan på Klona.
Då öppnas redigeraren för anpassade roller med alternativet Klona en roll valt.
Fortsätt till steg 3: Grunderna.
Börja från början
Om du vill kan du följa de här stegen för att starta en anpassad roll från grunden.
I Azure-portalen öppnar du en hanteringsgrupp, prenumeration eller resursgrupp där du vill att den anpassade rollen ska kunna tilldelas och öppnar sedan Åtkomstkontroll (IAM)..
Klicka på Lägg till och sedan på Lägg till anpassad roll.
Då öppnas redigeraren för anpassade roller med alternativet Starta från början valt.
Fortsätt till steg 3: Grunderna.
Starta från JSON
Om du vill kan du ange de flesta av dina anpassade rollvärden i en JSON-fil. Du kan öppna filen i redigeraren för anpassade roller, göra ytterligare ändringar och sedan skapa den anpassade rollen. Följ de här stegen för att börja med en JSON-fil.
Skapa en JSON-fil med följande format:
{ "properties": { "roleName": "", "description": "", "assignableScopes": [], "permissions": [ { "actions": [], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }
I JSON-filen anger du värden för de olika egenskaperna. Här är ett exempel med vissa värden tillagda. Information om de olika egenskaperna finns i Förstå Rolldefinitioner för Azure.
{ "properties": { "roleName": "Billing Reader Plus", "description": "Read billing data and download invoices", "assignableScopes": [ "/subscriptions/11111111-1111-1111-1111-111111111111" ], "permissions": [ { "actions": [ "Microsoft.Authorization/*/read", "Microsoft.Billing/*/read", "Microsoft.Commerce/*/read", "Microsoft.Consumption/*/read", "Microsoft.Management/managementGroups/read", "Microsoft.CostManagement/*/read", "Microsoft.Support/*" ], "notActions": [], "dataActions": [], "notDataActions": [] } ] } }
Öppna sidan Åtkomstkontroll (IAM) i Azure-portalen.
Klicka på Lägg till och sedan på Lägg till anpassad roll.
Då öppnas redigeraren för anpassade roller.
På fliken Grundinställningar går du till Baslinjebehörigheter och väljer Starta från JSON.
Bredvid rutan Välj en fil klickar du på mappknappen för att öppna dialogrutan Öppna.
Välj JSON-filen och klicka sedan på Öppna.
Fortsätt till steg 3: Grunderna.
Steg 3: Grunderna
På fliken Grundläggande anger du behörigheter för namn, beskrivning och baslinje för din anpassade roll.
I rutan Anpassat rollnamn anger du ett namn för den anpassade rollen. Namnet måste vara unikt för Microsoft Entra-katalogen. Namnet kan innehålla bokstäver, siffror, blanksteg och specialtecken.
I rutan Beskrivning anger du en valfri beskrivning för den anpassade rollen. Detta blir knappbeskrivningen för den anpassade rollen.
Alternativet Baslinjebehörigheter bör redan anges baserat på föregående steg, men du kan ändra.
Steg 4: Behörigheter
På fliken Behörigheter anger du behörigheter för din anpassade roll. Beroende på om du klonade en roll eller om du började med JSON kanske fliken Behörigheter redan innehåller vissa behörigheter.
Lägga till eller ta bort behörigheter
Följ de här stegen för att lägga till eller ta bort behörigheter för din anpassade roll.
Om du vill lägga till behörigheter klickar du på Lägg till behörigheter för att öppna fönstret Lägg till behörigheter.
I det här fönstret visas alla tillgängliga behörigheter grupperade i olika kategorier i kortformat. Varje kategori representerar en resursprovider, som är en tjänst som tillhandahåller Azure-resurser.
I rutan Sök efter en behörighet skriver du en sträng för att söka efter behörigheter. Du kan till exempel söka efter faktura för att hitta behörigheter relaterade till faktura.
En lista över resursproviderkort visas baserat på din söksträng. En lista över hur resursprovidrar mappar till Azure-tjänster finns i Resursprovidrar för Azure-tjänster.
Klicka på ett resursproviderkort som kan ha de behörigheter som du vill lägga till i din anpassade roll, till exempel Microsoft-fakturering.
En lista över hanteringsbehörigheterna för resursprovidern visas baserat på din söksträng.
Om du letar efter behörigheter som gäller för dataplanet klickar du på Dataåtgärder. Annars låter du åtgärderna växla till Åtgärder för att visa behörigheter som gäller för kontrollplanet. Mer information om skillnaderna mellan kontrollplanet och dataplanet finns i Kontroll- och dataåtgärder.
Om det behövs uppdaterar du söksträngen för att ytterligare förfina sökningen.
När du hittar en eller flera behörigheter som du vill lägga till i din anpassade roll lägger du till en bockmarkering bredvid behörigheterna. Lägg till exempel till en bock bredvid Annan : Ladda ned faktura för att lägga till behörigheten att ladda ned fakturor.
Klicka på Lägg till för att lägga till behörigheten i din behörighetslista.
Behörigheten läggs till som en
Actions
eller .DataActions
Om du vill ta bort behörigheter klickar du på borttagningsikonen i slutet av raden. I det här exemplet kan behörigheten tas bort eftersom en användare inte behöver möjlighet att skapa supportärenden
Microsoft.Support/*
.
Lägga till jokerteckenbehörigheter
Beroende på hur du valde att börja kan du ha behörigheter med jokertecken (*
) i listan med behörigheter. Ett jokertecken (*
) utökar en behörighet till allt som matchar den åtgärdssträng som du anger. Följande jokerteckenssträng lägger till exempel till alla behörigheter relaterade till Azure Cost Management och exporter. Detta omfattar även eventuella framtida exportbehörigheter som kan läggas till.
Microsoft.CostManagement/exports/*
Om du vill lägga till en ny jokerteckenbehörighet kan du inte lägga till den med hjälp av fönstret Lägg till behörigheter . Om du vill lägga till en jokerteckenbehörighet måste du lägga till den manuellt med hjälp av fliken JSON . Mer information finns i Steg 6: JSON.
Kommentar
Vi rekommenderar att du anger Actions
och DataActions
uttryckligen i stället för att använda jokertecknet (*
). Ytterligare åtkomst och behörigheter som beviljas via framtiden Actions
eller DataActions
kan vara oönskat beteende med jokertecknet.
Exkludera behörigheter
Om din roll har en jokerteckenbehörighet (*
) och du vill exkludera eller subtrahera specifika behörigheter från den jokerteckenbehörigheten kan du exkludera dem. Anta till exempel att du har följande jokerteckenbehörighet:
Microsoft.CostManagement/exports/*
Om du inte vill tillåta att en export tas bort kan du exkludera följande borttagningsbehörighet:
Microsoft.CostManagement/exports/delete
När du exkluderar en behörighet läggs den till som en NotActions
eller NotDataActions
. De effektiva hanteringsbehörigheterna beräknas genom att lägga till alla Actions
och sedan subtrahera alla NotActions
. De effektiva databehörigheterna beräknas genom att lägga till alla DataActions
och sedan subtrahera alla NotDataActions
.
Kommentar
Att exkludera en behörighet är inte detsamma som en nekande. Att undanta behörigheter är helt enkelt ett praktiskt sätt att subtrahera behörigheter från en jokerteckenbehörighet.
Om du vill exkludera eller subtrahera en behörighet från en tillåten jokerteckenbehörighet klickar du på Exkludera behörigheter för att öppna fönstret Exkludera behörigheter.
I det här fönstret anger du de hanterings- eller databehörigheter som exkluderas eller subtraheras.
När du hittar en eller flera behörigheter som du vill exkludera lägger du till en bockmarkering bredvid behörigheterna och klickar sedan på knappen Lägg till .
Behörigheten läggs till som en
NotActions
ellerNotDataActions
.
Steg 5: Tilldelningsbara omfång
På fliken Tilldelningsbara omfång anger du var din anpassade roll är tillgänglig för tilldelning, till exempel hanteringsgrupp, prenumerationer eller resursgrupper. Beroende på hur du valde att starta kanske den här fliken redan visar omfånget där du öppnade sidan Åtkomstkontroll (IAM).
Du kan bara definiera en hanteringsgrupp i tilldelningsbara omfång. Det går inte att ange tilldelningsbart omfång till rotomfånget ("/").
Klicka på Lägg till tilldelningsbara omfång för att öppna fönstret Lägg till tilldelningsbara omfång.
Klicka på ett eller flera omfång som du vill använda, vanligtvis din prenumeration.
Klicka på knappen Lägg till för att lägga till det tilldelningsbara omfånget.
Steg 6: JSON
På fliken JSON ser du din anpassade roll formaterad i JSON. Om du vill kan du redigera JSON direkt.
Om du vill redigera JSON klickar du på Redigera.
Gör ändringar i JSON.
Om JSON inte är korrekt formaterad visas en röd ojämn linje och en indikator i den lodräta rännstenen.
När redigeringen är klar klickar du på Spara.
Steg 7: Granska + skapa
På fliken Granska + skapa kan du granska dina anpassade rollinställningar.
Granska dina anpassade rollinställningar.
Klicka på Skapa för att skapa din anpassade roll.
Efter en liten stund visas en meddelanderuta som anger att din anpassade roll har skapats.
Om några fel identifieras visas ett meddelande.
Visa din nya anpassade roll i listan Roller . Om du inte ser din anpassade roll klickar du på Uppdatera.
Det kan ta några minuter innan din anpassade roll visas överallt.
Lista anpassade roller
Följ de här stegen för att visa dina anpassade roller.
Öppna en hanteringsgrupp, prenumeration eller resursgrupp och öppna sedan Åtkomstkontroll (IAM)..
Välj fliken Roller för att visa en lista med alla inbyggda och anpassade roller.
I listan Typ väljer du CustomRole för att bara se dina anpassade roller.
Om du precis har skapat din anpassade roll och du inte ser den i listan klickar du på Uppdatera.
Uppdatera en anpassad roll
Som du beskrev tidigare i den här artikeln öppnar du din lista över anpassade roller.
Klicka på ellipsen (...) för den anpassade roll som du vill uppdatera och klicka sedan på Redigera. Observera att du inte kan uppdatera inbyggda roller.
Den anpassade rollen öppnas i redigeraren.
Använd de olika flikarna för att uppdatera den anpassade rollen.
När du är klar med ändringarna klickar du på fliken Granska + skapa för att granska ändringarna.
Klicka på knappen Uppdatera för att uppdatera din anpassade roll.
Ta bort en anpassad roll
Ta bort alla rolltilldelningar som använder den anpassade rollen. Mer information finns i Hitta rolltilldelningar för att ta bort en anpassad roll.
Som du beskrev tidigare i den här artikeln öppnar du din lista över anpassade roller.
Klicka på ellipsen (...) för den anpassade roll som du vill ta bort och klicka sedan på Ta bort.
Det kan ta några minuter innan din anpassade roll tas bort helt.