使用 Azure CLI 创建或更新 Azure 自定义角色

项目
03/15/2024

如果 Azure 内置角色不满足组织的特定需求，你可以创建自己的自定义角色。本文介绍如何使用 Azure CLI 列出、创建、更新或删除自定义角色。

先决条件

若要创建自定义角色，需要具备以下条件：

创建自定义角色的权限，例如用户访问管理员
Azure CLI

列出自定义角色

若要列出可用于分配的自定义角色，请使用 az role definition list。以下示例列出了当前订阅中的所有自定义角色。

az role definition list --custom-role-only true --output json --query '[].{roleName:roleName, roleType:roleType}'

[
  {
    "roleName": "My Management Contributor",
    "type": "CustomRole"
  },
  {
    "roleName": "My Service Reader Role",
    "type": "CustomRole"
  },
  {
    "roleName": "Virtual Machine Operator",
    "type": "CustomRole"
  }
]

列出自定义角色定义

若要列出自定义角色定义，请使用 az role definition list。此命令与用于内置角色的命令相同。

az role definition list --name {roleName}

以下示例列出了“虚拟机操作员”角色定义：

az role definition list --name "Virtual Machine Operator"

[
  {
    "assignableScopes": [
      "/subscriptions/{subscriptionId}"
    ],
    "description": "Can monitor and restart virtual machines.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/00000000-0000-0000-0000-000000000000",
    "name": "00000000-0000-0000-0000-000000000000",
    "permissions": [
      {
        "actions": [
          "Microsoft.Storage/*/read",
          "Microsoft.Network/*/read",
          "Microsoft.Compute/*/read",
          "Microsoft.Compute/virtualMachines/start/action",
          "Microsoft.Compute/virtualMachines/restart/action",
          "Microsoft.Authorization/*/read",
          "Microsoft.ResourceHealth/availabilityStatuses/read",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Insights/alertRules/*",
          "Microsoft.Insights/diagnosticSettings/*"
        ],
        "dataActions": [],
        "notActions": [],
        "notDataActions": []
      }
    ],
    "roleName": "Virtual Machine Operator",
    "roleType": "CustomRole",
    "type": "Microsoft.Authorization/roleDefinitions"
  }
]

以下示例仅列出了“虚拟机操作员”角色的 actions：

az role definition list --name "Virtual Machine Operator" --output json --query '[].permissions[0].actions'

[
  [
    "Microsoft.Storage/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Authorization/*/read",
    "Microsoft.ResourceHealth/availabilityStatuses/read",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Insights/alertRules/*",
    "Microsoft.Insights/diagnosticSettings/*"
  ]
]

创建自定义角色

若要创建自定义角色，请使用 az role definition create。角色定义可以是 JSON 说明，也可以是包含 JSON 说明的文件的路径。

az role definition create --role-definition {roleDefinition}

以下示例创建名为“虚拟机操作员”的自定义角色。该自定义角色分配访问 Microsoft.Compute、Microsoft.Storage 和 Microsoft.Network 资源提供程序的所有读取操作的权限，并分配访问虚拟机启动、重启和监视操作的权限。该自定义角色可以在两个订阅中使用。此示例将 JSON 文件用作输入。

vmoperator.json

{
  "Name": "Virtual Machine Operator",
  "IsCustom": true,
  "Description": "Can monitor and restart virtual machines.",
  "Actions": [
    "Microsoft.Storage/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.Compute/virtualMachines/start/action",
    "Microsoft.Compute/virtualMachines/restart/action",
    "Microsoft.Authorization/*/read",
    "Microsoft.ResourceHealth/availabilityStatuses/read",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Insights/alertRules/*"
  ],
  "NotActions": [

  ],
  "AssignableScopes": [
    "/subscriptions/{subscriptionId1}",
    "/subscriptions/{subscriptionId2}"
  ]
}

az role definition create --role-definition ~/roles/vmoperator.json

更新自定义角色

若要更新自定义角色，请首先使用 az role definition list 检索角色定义。然后，对角色定义做出所需更改。最后，使用 az role definition update 保存更新的角色定义。

az role definition update --role-definition {roleDefinition}

以下示例将“Microsoft.Insights/diagnosticSettings/”操作添加到 Actions，并将管理组添加到“虚拟机操作员”自定义角色的 AssignableScopes。