Hizmet sorumlusu rollerini yönetme

Azure kaynaklarınıza erişimi kısıtlamak için rol atamalarını yönetmek için bir hizmet sorumlusu kullanabilirsiniz. Her rol, Azure kaynaklarına erişirken kullanıcının izin verdiği farklı izinler sağlar. Öğreticideki bu adımda hizmet sorumlusu rollerinin nasıl oluşturulacağı ve kaldırılacağı açıklanmaktadır.

Azure CLI rol atamalarını yönetmek için aşağıdaki komutlara sahiptir:

Rol ataması oluşturma veya kaldırma

Katkıda Bulunan rolü, bir Azure hesabını okumak ve bu hesaba yazmak için tam izinlere sahiptir. Okuyucu rolü salt okunur erişimle daha kısıtlayıcıdır. Her zaman en az ayrıcalık ilkesini kullanın. Azure RBAC'deki kullanılabilir rollerin tam listesi için bkz . Azure yerleşik rolleri.

Bir rol eklendiğinde, önceden atanmış izinler kısıtlanmaz. Bu örnek Okuyucu rolünü ekler ve Katkıda Bulunan rolünü kaldırır:

az role assignment create --assignee myServicePrincipalID \
                          --role Reader \
                          --scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName

az role assignment delete --assignee myServicePrincipalID \
                          --role Contributor \
                          --scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName

Çıkış Konsolu:

{
  "condition": null,
  "conditionVersion": null,
  "createdBy": null,
  "createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
  "delegatedManagedIdentityResourceId": null,
  "description": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "name": "00000000-0000-0000-0000-000000000000",
  "principalId": "00000000-0000-0000-0000-000000000000",
  "principalType": "ServicePrincipal",
  "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
  "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
  "type": "Microsoft.Authorization/roleAssignments",
  "updatedBy": "00000000-0000-0000-0000-000000000000",
  "updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}

Kapsam parametresi için değer alma

"Parametre değerini Nasıl yaparım? biliyor --scope musunuz?" sorusunu sorabilirsiniz. Yanıt, hizmet sorumlunuzun erişmesi gereken Azure kaynağının Kaynak Kimliğini bulmak ve kopyalamaktır. Bu bilgiler genellikle her kaynağın Azure portalının Özellikler veya Uç Noktalar sayfasında bulunur. Burada yaygın --scope örnekler verilmiştir, ancak gerçek bir biçim ve değer için Kaynak Kimliğinize güvenebilirsiniz.

Scope Örnek
Abonelik /subscriptions/mySubscriptionID
Kaynak grubu /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName
Sanal makine /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Compute/virtualMachines/myVMname
hesap dosya hizmetini Depolama /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.Storage/storageAccounts/myStorageAccountName/fileServices/default
Veri fabrikası /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName/providers/Microsoft.DataFactory/factories/myDataFactoryName

Diğer kapsam örnekleri için bkz . Azure RBAC kapsamını anlama.

Değişiklikleri doğrulama

Atanan roller listelenerek değişiklikler doğrulanabilir:

# list all role assignments for the current subscription
az role assignment list ---output table

# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com

# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID

Ayrıca Azure portalına gidebilir ve rolü Erişim denetimi (IAM) menüsünden hizmet sorumlusuna el ile atayabilirsiniz. Rol atamalarını listeleme hakkında daha fazla örnek için bkz . Azure CLI kullanarak Azure rol atamalarını listeleme.

Sonraki Adımlar

Hizmet sorumlusu rollerinizi yönetmeyi öğrendiğinize göre, bir sonraki adıma geçin ve kaynak oluşturmak için hizmet sorumlularını kullanmayı öğrenin.