Azure AD icinde tum yetkiler belirli kurallara gore yonetilir. Onceden tanimlanmis yonetimsel rollerin kullanilabilecegi gibi ozellestirilmis roller de kullanilabilir.
Oncelikle tanimlanmis rollerin tam listesini asagidaki sekilde goruntuleyebiliriz.
[crayon]
(Get-AzureRmRoleDefinition).count
Get-AzureRmRoleDefinition “Virtual Machine Contributor”
[/crayon]
UPDATED:
Ayni sekilde yukaridaki ornekte oldugu gibi tanimli rollerden biri olan “Virtual Machine Contributor” rolunun detaylarini da ekrana yazdirdik. Simdi buna biraz daha detayli bakalim.
[crayon]
Get-AzureRmRoleDefinition “Virtual Machine Contributor” | select -ExpandProperty actions
[/crayon]
Yukaridaki liste ise bu rolun aslinda Azure uzerinde hangi aksiyonlari alabilmeye Yetkin oldugunu gosterir. Iste bu yuzden daha onceden tanimli roller kullanmak onemli ve basittir.
Bu sayede tonlarca aksiyonu tek tek belirlemek zorunda kalmazsiniz. Ancak yine de yeni bir rol ihtiyaci olusursa onu da asagidaki sekilde karsilayabiliriz.
[crayon]
$yenirol = Get-AzureRmRoleDefinition -Name “Virtual Machine Contributor”
$yenirol.Id = $null
$yenirol.Name = “VM Teknisyeni – Sadece Okuma”
$yenirol.Description = “Bazi gorevler”
$yenirol.Actions.RemoveRange(0,$role.Actions.Count)
$yenirol.Actions.Add(“Microsoft.Compute/*/read”)
$yenirol.Actions.Add(“Microsoft.Network/*/read”)
$yenirol.Actions.Add(“Microsoft.Storage/*/read”)
$yenirol.Actions.Add(“Microsoft.Authorization/*/read”)
$yenirol.Actions.Add(“Microsoft.Resources/subscriptions/resourceGroups/read”)
$yenirol.Actions.Add(“Microsoft.Resources/subscriptions/resourceGroups/resources/read”)
$yenirol.AssignableScopes.Clear()
$yenirol.AssignableScopes.Add(“/subscriptions/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx”)
New-AzureRmRoleDefinition -Role $yenirol
[/crayon]
Artik yeni rolumuzu goruntuleyebiliriz.
Bir sonraki yazida, bir kullanici ya da gruba, herhangi bir kaynak uzerinde “VM Teknisyeni” yetkisi verecegim.