你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
如果已启用 Azure Arc 的 SCVMM 的内置角色不符合组织的特定需求,则可以创建自己的自定义角色,以在精细级别向最终用户提供权限。
与内置角色一样,可以在订阅和资源组范围内向用户分配自定义角色来控制访问权限。 自定义角色存储在 Microsoft Entra 目录中,可以在订阅之间共享。 每个目录最多可以有 5000 个自定义角色。 可以使用 Azure 门户、Azure PowerShell、Azure CLI 或 REST API 创建自定义角色。 本文介绍如何使用已启用 Azure Arc 的 SCVMM 的 Azure 门户创建自定义角色。
要详细了解 Azure 自定义角色,请参阅以下内容:
先决条件
创建自定义角色
要使用已启用 Azure Arc 的 SCVMM 创建自定义角色,请执行以下步骤:
- 登录到 Azure 门户,打开要在其中创建自定义角色的订阅,然后打开访问控制 (IAM)。
- 选择“添加”,然后选择“添加自定义角色”。
- 在“基本信息”选项卡上,填写自定义角色名称、说明等详细信息,然后选择基线权限,然后选择“下一步”。
- 在“权限”选项卡上,选择“+ 添加权限”将操作添加到基线权限,或选择“排除权限”从基线权限中删除操作。 如果要从头开始创建新角色,请选择“添加权限”。
- 在“添加权限”或“排除权限”窗口中,搜索 scvmm 并选择 Microsoft.SCVMM。
- 在“Microsoft.SCVMM 权限”页上,选择要添加或排除的所需权限,然后选择“添加”。
- 根据需要,将其他资源提供程序的权限添加到此自定义角色,然后选择“下一步”。
- 在“可分配范围”选项卡上,可以选择此自定义角色在其中可用于分配其他订阅和/或资源组,然后选择“下一步”。
- 在“JSON”选项卡上,可以选择下载自定义角色的 JSON 格式,以便从基线权限集创建更多自定义角色。 完成后,选择“下一步”。
- 在“查看 + 创建”选项卡上,选择“创建”,为已启用 Azure Arc 的 SCVMM 创建自定义角色。
- 创建后,可以按照以下步骤查看、更新和删除自定义角色:
要使用 Azure PowerShell、Azure CLI、REST API、ARM 或 Bicep 模板管理自定义角色,请参阅有关 Azure 基于角色的访问控制的详细文档。