Создание или обновление настраиваемых ролей Azure с помощью портала Azure

Если встроенные роли Azure не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли Azure. Just like built-in roles, you can assign custom roles to users, groups, and service principals at management group, subscription, and resource group scopes. Custom roles are stored in a Microsoft Entra directory and can be shared across subscriptions. В каждом каталоге может быть не более 5000 настраиваемых ролей. Настраиваемые роли можно создавать с помощью портала Azure, Azure PowerShell, Azure CLI или REST API. В этой статье описывается создание настраиваемых ролей с помощью портала Azure.

Предварительные условия

Для создания пользовательских ролей в Azure требуются:

• разрешения на создание пользовательских ролей, такие как Владелец или Администратор доступа пользователя;

Шаг 1. Определение нужных разрешений

В Azure есть тысячи разрешений, которые потенциально можно включить в настраиваемую роль. Ниже приведены некоторые методы, которые могут помочь определить разрешения, добавляемые в настраиваемую роль:

• Просмотрите существующие встроенные роли.
• Составьте список служб Azure, к которым нужно предоставить доступ.
• Определите поставщики ресурсов, сопоставляемые со службами Azure. Метод поиска описан далее в разделе Шаг 4. Разрешения.
• Выполните поиск доступных разрешений, чтобы найти разрешения, которые нужно включить. Метод поиска описан далее в разделе Шаг 4. Разрешения.

Шаг 2. Выбор способа запуска

Существует три способа приступить к созданию настраиваемой роли. Вы можете клонировать существующую роль, начать с нуля или использовать JSON-файл. Самый простой способ — найти существующую роль, имеющую большинство необходимых разрешений, а затем клонировать ее и изменить для вашего сценария.

Клонирование роли

Если у существующей роли нет необходимых разрешений, вы можете клонировать ее, а затем изменить разрешения. Чтобы приступить к клонированию роли, выполните следующие действия.

1. В портал Azure откройте группу управления, подписку или группу ресурсов, где необходимо назначить настраиваемую роль, а затем откройте управление доступом (IAM).

   На приведенном ниже снимке экрана показана открытая страница "Управление доступом (IAM)" для подписки.

   

2. Чтобы просмотреть список всех встроенных и пользовательских ролей, щелкните вкладку Роли.

3. Найдите роль, которую необходимо клонировать, например роль "Читатель счетов".

4. At the end of the row, click the ellipsis (...) and then click Clone.

   

   Откроется редактор настраиваемых ролей с выбранным параметром Клонировать роль.

5. Proceed to Step 3: Basics.

Начать с нуля

При желании вы можете выполнить следующие действия, чтобы приступить к созданию настраиваемой роли с нуля.

1. В портал Azure откройте группу управления, подписку или группу ресурсов, где необходимо назначить настраиваемую роль, а затем откройте управление доступом (IAM).

2. Щелкните Добавить, а затем — Добавить настраиваемую роль.

   

   Откроется редактор настраиваемых ролей с выбранным параметром Начать с нуля.

3. Proceed to Step 3: Basics.

Начать с JSON

При желании вы можете указать большую часть значений настраиваемых ролей в JSON-файле. Откройте файл в редакторе настраиваемых ролей, внесите дополнительные изменения, а затем создайте настраиваемую роль. Выполните следующие действия, чтобы начать с JSON-файла.

1. Создайте JSON-файл в следующем формате.

   {
       "properties": {
           "roleName": "",
           "description": "",
           "assignableScopes": [],
           "permissions": [
               {
                   "actions": [],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

2. В файле JSON укажите значения для различных свойств. Ниже приведен пример, в котором добавлены некоторые значения. Дополнительные сведения о свойствах см. в статье Общие сведения об определениях ролей Azure.

   {
       "properties": {
           "roleName": "Billing Reader Plus",
           "description": "Read billing data and download invoices",
           "assignableScopes": [
               "/subscriptions/11111111-1111-1111-1111-111111111111"
           ],
           "permissions": [
               {
                   "actions": [
                       "Microsoft.Authorization/*/read",
                       "Microsoft.Billing/*/read",
                       "Microsoft.Commerce/*/read",
                       "Microsoft.Consumption/*/read",
                       "Microsoft.Management/managementGroups/read",
                       "Microsoft.CostManagement/*/read",
                       "Microsoft.Support/*"
                   ],
                   "notActions": [],
                   "dataActions": [],
                   "notDataActions": []
               }
           ]
       }
   }
   

3. На портале Azure откройте страницу Управление доступом (IAM).

4. Щелкните Добавить, а затем — Добавить настраиваемую роль.

   

   Откроется редактор настраиваемых ролей.

5. На вкладке "Основные сведения" в области Базовые разрешения выберите Начать с JSON.

6. Нажмите кнопку "Папка" рядом с полем "Выберите файл", чтобы открыть диалоговое окно "Открыть".

7. Выберите JSON-файл и щелкните Открыть.

8. Proceed to Step 3: Basics.

Шаг 3. Основные сведения

На вкладке Основные сведения укажите имя, описание и базовые разрешения для настраиваемой роли.

1. В поле Имя настраиваемой роли укажите имя настраиваемой роли. Имя должно быть уникальным для каталога Microsoft Entra. Оно может содержать буквы, цифры, пробелы и специальные знаки.

2. В поле Описание укажите необязательное описание настраиваемой роли. This will become the tooltip for the custom role.

   Для параметра Базовые разрешения уже должно быть задано значение, поскольку оно задается на основе выбора на предыдущем шаге, однако это значение можно изменить.

   

Шаг 4. Разрешения

На вкладке Разрешения укажите разрешения для настраиваемой роли. В зависимости от того, клонировали вы роль или начали работу с JSON, на вкладке разрешения могут быть уже перечислены некоторые разрешения.

Добавление или удаление разрешений

Выполните следующие действия, чтобы добавить или удалить разрешения для настраиваемой роли.

1. Чтобы добавить разрешения, нажмите кнопку Добавление разрешений, чтобы открыть панель "Добавление разрешений".

   В этой области перечислены все доступные разрешения, сгруппированные по различным категориям в формате карточек. Каждая категория представляет поставщик ресурсов, который является службой, предоставляющей ресурсы Azure.

2. В поле Поиск разрешения введите строку для поиска разрешений. Например, выполните поиск по счету, чтобы найти разрешения, связанные со счетом.

   Список карточек поставщика ресурсов будет отображаться на основе строки поиска. Список со сведениями о сопоставлении поставщиков ресурсов со службами Azure см. в статье Поставщики ресурсов для служб Azure.

   

3. Выберите карточку поставщика ресурсов,которая может иметь разрешения, которые вы хотите добавить в настраиваемую роль, например, Выставление счетов Майкрософт.

   Список разрешений на управление для этого поставщика ресурсов отображается на основе строки поиска.

   

4. Если вы ищете разрешения, которые применяются к плоскости данных, щелкните Действия с данными. Otherwise, leave the actions toggle set to Actions to list permissions that apply to the control plane. Дополнительные сведения о различиях между плоскостем управления и плоскости данных см. в разделе "Управление" и "Действия с данными".

5. При необходимости обновите строку поиска, чтобы уточнить условия поиска.

6. Найдя одно или несколько разрешений, которые нужно добавить в настраиваемую роль, установите флажок рядом с разрешениями. Например, установите флажок рядом с пунктом Other : Download Invoice (Другое: скачивание счета), чтобы добавить разрешение на скачивание счетов.

7. Нажмите кнопку Добавить, чтобы добавить разрешение в список разрешений.

   Разрешение добавляется как Actions или DataActions.

   

8. Чтобы удалить разрешения, щелкните значок удаления в конце строки. В этом примере, поскольку пользователю не нужна возможность создавать запросы в службу поддержки,разрешение Microsoft.Support/* можно удалить.

Add wildcard permissions

Depending on how you chose to start, you might have permissions with wildcards (*) in your list of permissions. Подстановочный знак (*) расширяет действие разрешения на все, что соответствует введенной строке действий. Например, следующая строка с подстановочными знаками добавляет все разрешения, связанные с Управлением затратами Azure и экспортами. Сюда также входят все будущие разрешения экспорта, которые могут быть добавлены.

Microsoft.CostManagement/exports/*

If you want to add a new wildcard permission, you can't add it using the Add permissions pane. Добавление разрешений с подстановочными знаками необходимо выполнять вручную с помощью вкладки JSON. Дополнительные сведения см. в разделе Шаг 6. JSON.

Исключить разрешения

Если у вашей роли есть универсальное разрешение (*) и вы хотите исключить или вычесть определенные разрешения из этого универсального разрешения, вы можете их исключить. For example, let's say that you have the following wildcard permission:

Microsoft.CostManagement/exports/*

Если вы не хотите предоставлять разрешение на удаление экспорта, можно исключить следующее разрешение на удаление:

Microsoft.CostManagement/exports/delete

When you exclude a permission, it is added as a NotActions or NotDataActions. Действующие разрешения на управление вычисляются путем добавления всех значений Actions и последующего вычитания всех значений NotActions. Действующие разрешения данных вычисляются путем добавления всех значений DataActions и последующего вычитания всех значений NotDataActions.

1. Чтобы исключить или вычесть разрешение из допускаемого разрешения с подстановочными знаками, нажмите кнопку Исключить разрешения. Откроется панель "Исключить разрешения".

   На этой панели можно указать разрешения на управление или данные, которые будут исключены или вычтены.

2. Найдя одно или несколько разрешений, которые необходимо исключить, установите флажок рядом с разрешениями и нажмите кнопку Добавить.

   

   Разрешение добавляется как NotActions или NotDataActions.

   

Step 5: Assignable scopes

На вкладке Назначаемые области укажите, где ваша настраиваемая роль будет доступна для назначения. Это могут быть, например, группа управления, подписки или группы ресурсов. В зависимости от того, как вы решили начать работу, на этой вкладке может уже отображаться область, в которой была открыта страница "Управление доступом" (IAM).

Вы можете определить только одну группу управления в назначаемых областях. Назначение корневой области ("/") в качестве назначаемой области не поддерживается.

1. Щелкните Добавление назначаемых областей, чтобы открыть область "Добавление назначаемых областей".

   

2. Click one or more scopes that you want to use, typically your subscription.

   

3. Нажмите кнопку Добавить, чтобы добавить назначаемую область.

Шаг 6. JSON

На вкладке JSON вы увидите настраиваемую роль в формате JSON. При необходимости JSON можно изменять напрямую.

1. Чтобы изменить JSON-файл, щелкните Изменить.

   

2. Внесите изменения в JSON-файл.

   Если JSON отформатирован неправильно, вы увидите красную прерывистую линию и индикатор в вертикальной колонке.

3. По завершении внесения изменений выберите пункт Сохранить.

Шаг 7. Просмотр и создание

На вкладке Просмотр и создание можно проверить параметры настраиваемой роли.

1. Проверьте параметры настраиваемой роли.

   

2. Нажмите кнопку Создать, чтобы создать настраиваемую роль.

   Через несколько секунд появится сообщение со сведениями о том, что настраиваемая роль успешно создана.

   

   Если же будут обнаружены какие-либо ошибки, появится соответствующее сообщение.

   

3. Просмотрите новую настраиваемую роль в списке Роли. Если настраиваемая роль не отображается, нажмите кнопку Обновить.

   It can take a few minutes for your custom role to appear everywhere.

Список настраиваемых ролей

Выполните следующие действия, чтобы просмотреть список своих настраиваемых ролей.

1. Откройте группу управления, подписку или группу ресурсов, а затем откройте управление доступом (IAM).

2. Чтобы просмотреть список всех встроенных и пользовательских ролей, щелкните вкладку Роли.

3. В списке Тип выберите CustomRole, чтобы открыть только собственные настраиваемые роли.

   Если вы только что создали настраиваемую роль и не видите ее в списке, нажмите кнопку Обновить.

   

Update a custom role

1. Как было сказано ранее в этой статье, откройте список настраиваемых ролей.

2. Нажмите кнопку с многоточием (...) для настраиваемой роли, которую нужно обновить, а затем щелкните Изменить. Обратите внимание, что встроенные роли обновлять нельзя.

   Настраиваемая роль откроется в редакторе.

   

3. Используйте разные вкладки для обновления настраиваемой роли.

4. Завершив внесение изменений, щелкните вкладку Просмотр и создание, чтобы проверить изменения.

5. Нажмите кнопку Обновить, чтобы обновить настраиваемую роль.

Удаление настраиваемой роли

1. Remove any role assignments that use the custom role. Дополнительные сведения см. в разделе "Поиск назначений ролей" для удаления настраиваемой роли.

2. Как было сказано ранее в этой статье, откройте список настраиваемых ролей.

3. Нажмите кнопку с многоточием (...) для настраиваемой роли, которую нужно удалить, а затем щелкните Удалить.

   

   Полное удаление настраиваемой роли может занять несколько минут.

Следующие шаги

• Руководство. Создание настраиваемой роли Azure с помощью Azure PowerShell
• Настраиваемые роли Azure
• Операции с поставщиками ресурсов Azure