Service-principalrollen beheren met behulp van Azure CLI

Als u de toegang tot uw Azure-resources wilt beperken, kunt u een service-principal gebruiken om roltoewijzingen te beheren. Elke rol biedt verschillende machtigingen die de gebruiker heeft toegestaan bij het openen van Azure-resources. Deze stap in de zelfstudie legt uit hoe je rollen van service-principals maakt en verwijdert.

De Azure CLI heeft de volgende opdrachten voor het beheren van roltoewijzingen:

• az roltoewijzingslijst
• az roletoewijzing maken
• az roltoewijzing verwijderen

Een roltoewijzing maken of verwijderen

De rol Bijdrager heeft volledige machtigingen om te lezen en te schrijven op een Azure-account. De rol Lezer is beperkter met alleen-lezentoegang. Gebruik altijd het principe van minimale bevoegdheden. Zie ingebouwde Azure-rollen voor een volledige lijst met beschikbare rollen in Azure RBAC.

Als u een rol toevoegt, worden eerder toegewezen machtigingen niet beperkt. In dit voorbeeld wordt de rol Lezer toegevoegd en wordt de rol Inzender verwijderd:

az role assignment create --assignee myServicePrincipalID \
                          --role Reader \
                          --scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName

az role assignment delete --assignee myServicePrincipalID \
                          --role Contributor \
                          --scope /subscriptions/mySubscriptionID/resourceGroups/myResourceGroupName

Uitvoerconsole:

{
  "condition": null,
  "conditionVersion": null,
  "createdBy": null,
  "createdOn": "yyyy-mm-ddT00:00:00.000000+00:00",
  "delegatedManagedIdentityResourceId": null,
  "description": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "name": "00000000-0000-0000-0000-000000000000",
  "principalId": "00000000-0000-0000-0000-000000000000",
  "principalType": "ServicePrincipal",
  "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
  "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroupName",
  "type": "Microsoft.Authorization/roleAssignments",
  "updatedBy": "00000000-0000-0000-0000-000000000000",
  "updatedOn": "yyyy-mm-ddT00:00:00.000000+00:00"
}

Een waarde ophalen voor de scope-parameter

Een vraag die u mogelijk hebt, is 'Hoe kan ik de parameterwaarde kennen--scope?' Het antwoord is het zoeken en kopiëren van de resource-id van de Azure-resource die uw service-principal nodig heeft voor toegang. Deze informatie vindt u meestal op de pagina Eigenschappen of Eindpunten van de Azure-portal van elke resource. Hier volgen veelvoorkomende --scope voorbeelden, maar vertrouw op uw resource-id voor een werkelijke indeling en waarde.

Zie Inzicht in het bereik voor Azure RBAC voor meer bereikvoorbeelden.

Wijzigingen verifiëren

De wijzigingen kunnen worden geverifieerd door de toegewezen rollen in een lijst weer te geven:

# list all role assignments for the current subscription
az role assignment list --output table

# list role assignments for a user
az role assignment list --assignee myUserName@contoso.com

# list role assignments for a subscription
az role assignment list --subscription mySubscriptionID

U kunt ook naar Azure Portal gaan en de rol handmatig toewijzen aan de service-principal vanuit het menu Toegangsbeheer (IAM). Zie Lijst met Azure-roltoewijzingen met behulp van Azure CLI voor meer voorbeelden over het weergeven van roltoewijzingen.

Volgende stappen

Nu u hebt geleerd hoe u uw service-principal-rollen kunt beheren, gaat u verder met de volgende stap om te leren hoe u service-principals kunt gebruiken om een resource te maken.