Помимо Contributor, какая роль Azure позволит выполнять Add-AzureRmAutoscaleSetting

Question

У меня есть скрипт Powershell, который используется для развертывания Azure Cloud Service (Classic) .До сегодняшнего дня пользователю приложения была назначена роль Contributor.В целях повышения безопасности мы отменяем эту Contributor роль, поскольку она слишком широкая.

Часть процесса развертывания заключается в обновлении параметров автоматического масштабирования рабочего слота с использованием Add-AzureRmAutoscaleSetting:

Add-AzureRmAutoscaleSetting -Location "East US" -Name $scalingName -ResourceGroupName $resourceGroup -TargetResourceId $targetResourceId -AutoscaleProfile $autoscaleProfile

Поскольку пользователю Azure больше не назначается роль Contributor, эта команда теперь не выполняется, говоря, что она «Запрещена»:

Add-AzureRmAutoscaleSetting : Exception type: ErrorResponseException, Message: Null/Empty, Code: Null, Status code:Forbidden, Reason phrase: Forbidden
At C:\Path\AzureRMTools.psm1:131 char:5
+     Add-AzureRmAutoscaleSetting -Location "East US" -Name $scalingNam ...
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Add-AzureRmAutoscaleSetting], PSInvalidOperationException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Insights.Autoscale.AddAzureRmAutoscaleSettingCommand

Я попытался назначитьУ пользователя много разных ролей (я думаю, что у ролей есть это разрешение), но ни у одной из них нет разрешения на выполнение этого.

Я хотел бы знать, какая роль будет содержать это разрешение?Если нет, то можно ли создать новую роль, которая позволит выполнить команду.

Спасибо

Answer 1

Спасибо @ 4c74356b41 за толчок в правильном направлении.

Похоже, что в ролях не было ни одной сборки, содержащей разрешение Microsoft.insights/autoscalesettings/write, поэтому следуйте этот урок Я создал новую роль.

Вот файл json, который я создал:

{
    "Name": "Microsoft Insights Contributor",
    "IsCustom": true,
    "Description": "Allows the creation, edition, and deletion of AutoScaling rules from Microsoft.Insights",
    "Actions": [
        "Microsoft.Insights/*",
        "Microsoft.ClassicCompute/*"
    ],
    "NotActions": [],
    "DataActions": [],
    "NotDataActions": [],
    "AssignableScopes": [
        "/subscriptions/00000000-0000-0000-0000-000000000000"
    ]
}

Затем выполните следующее, чтобы добавить его в подписку Azure:

New-AzureRmRoleDefinition -InputFile '.\Microsoft Insights Contributor.json'

Надеюсь, это поможет кому-то еще

Примечание. Поскольку я работаю с облачными службами Azure (Classic), мне также потребовались разрешения для некоторых Microsoft.ClassicCompute ресурсов

Answer 2

Любая роль, которая разрешает Microsoft.insights/autoscalesettings/write в интересующей области, должна работать.

, а также разрешения (запись) для ресурсов, которые вы пытаетесь привязать автомасштабирование к