2

ユーザー アクセス管理者ロールをサービス プリンシパルに割り当てる Azure ロール割り当てを作成しようとしていますが、Azure Data Factory リソースに対してのみです。

サブスクリプション、リソース グループ、さらにはリソースごとにスコープを設定する方法に関するドキュメントはたくさんありますが、特定の種類のすべてのリソースに対してスコープを設定する方法がわかりません。

この PowerShell コマンドを試してみましたが、正常に実行されましたが、意図した効果はありませんでした。サービス プリンシパルは、ADF リソースに対してそのロールのアクションを実行できません。

New-AzRoleAssignment -ObjectId ddddddd-dddd-dddd-dddd-dddddddddddd -RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 -Scope "/providers/Microsoft.DataFactory"

Powershell コマンドが正常に実行されます

また、スコープでワイルドカードを試してみましたが、これはサポートされていないようです:/subscriptions/dddddddd-dddd-dddd-dddd-dddddddddddd/resourceGroups/*/providers/Microsoft.DataFactory/dataFactories/*

これが私がすでに読んだドキュメントです:

4

2 に答える 2

1

役割の割り当ては、定義済みまたはカスタムの役割「役割定義」をユーザーに割り当てるために使用されます。

役割定義は、役割の範囲を定義するものです。ロールのスコープは、サブスクリプション、リソース グループ、およびリソースである必要があります。リソースのタイプを定義することはできません。1つまたは複数の場所に似ています。

スコープ構造

RBAC スコープの構造: https://docs.microsoft.com/en-us/azure/role-based-access-control/overview#scope

カスタム ロールの作成方法: https://docs.microsoft.com/en-us/azure/role-based-access-control/custom-roles

あなたの場合、すべての DataFactory で IAM を処理できるようにユーザーを許可する場合は、各 datafactory スコープを手動で定義する必要があります。次に、Microsoft.Authorization プロバイダーのアクションを使用します: https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftauthorization

割り当てのスコープを定義するときは、-Scope <String>パラメーターまたは次のパラメーターの組み合わせを使用して定義できます。

   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>

リソース タイプ「-ResourceType」。たとえば、Microsoft.Network/virtualNetworks です。リソースを識別する相対 URI の形式で階層スコープを構築するために、ResourceGroupName、ResourceName、および (オプションで)ParentResource パラメーターと組み合わせてのみ使用する必要があります。

詳細については、https ://docs.microsoft.com/en-us/powershell/module/az.resources/new-azroleassignment?view=azps-3.3.0 を参照してください。

于 2020-01-07T17:31:05.213 に答える