المهارات azure-rbac
📦

azure-rbac

آمن

Asignar Roles RBAC de Azure con Privilegios Mínimos

Esta habilidad ayuda a los administradores de Azure a encontrar el rol RBAC mínimo necesario para permisos específicos y genera los comandos CLI y código Bicep para asignarlo de forma segura.

يدعم: Claude Codex Code(CC)
🥉 74 برونزي
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "azure-rbac". ¿Qué rol debo asignar para que una identidad administrada lea blobs?

النتيجة المتوقعة:

  • Storage Blob Data Reader (versión preliminar) es el rol integrado recomendado para acceso de solo lectura a blob storage.
  • Ámbito del recurso: El rol puede asignarse a nivel de cuenta de almacenamiento, contenedor o blob.
  • Para privilegios mínimos, asignar al nivel del contenedor específico en lugar de toda la cuenta de almacenamiento.

استخدام "azure-rbac". Generar código Bicep para asignar un rol a una entidad de servicio

النتيجة المتوقعة:

  • resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = { name: guid(subscription().id, servicePrincipalId, roleDefinitionId) properties: { principalId: servicePrincipalId roleDefinitionId: roleDefinitionId principalType: 'ServicePrincipal' } }

التدقيق الأمني

آمن
v1 • 2/21/2026

Static analysis flagged 4 instances of 'Weak cryptographic algorithm' at SKILL.md lines 3 and 8. These are FALSE POSITIVES. Line 3 contains YAML syntax (description: >-) for multiline strings. Line 8 references Azure MCP tools (azure__documentation, azure__extension_cli_generate). The skill is a legitimate Microsoft Azure RBAC helper that recommends least-privilege roles and generates infrastructure code.

1
الملفات التي تم فحصها
9
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية

الأنماط المكتشفة

Weak Cryptographic Algorithm (False Positive)
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
50
المجتمع
100
الأمان
91
الامتثال للمواصفات

ماذا يمكنك بناءه

Otorgar acceso de lectura al blob storage

Encontrar el rol mínimo necesario para que una entidad de servicio lea blobs en una cuenta de almacenamiento específica

Crear rol personalizado para permisos de API

Definir un rol RBAC personalizado con permisos de API específicos cuando los roles integrados son demasiado amplios

Automatizar asignación de roles en CI/CD

Generar código Bicep para asignaciones de roles que pueden implementarse mediante Azure DevOps o GitHub Actions

جرّب هذه الموجهات

Encontrar rol para lectura de almacenamiento 
¿Cuál es el rol RBAC mínimo necesario para leer blobs en una cuenta de Azure Storage?
Rol para identidad administrada 
¿Qué rol RBAC debo asignar a una identidad administrada para que pueda listar máquinas virtuales en un grupo de recursos?
Generar CLI de asignación de rol 
Generar el comando de Azure CLI para asignar el rol Storage Blob Data Reader a una identidad administrada asignada por usuario en una cuenta de almacenamiento.
Crear definición de rol personalizado 
Crear una definición de rol RBAC personalizado que permita lectura y lista en contenedores y blobs de almacenamiento, pero no operaciones de eliminación o escritura.

أفضل الممارسات

  • Siempre asignar roles en el ámbito más estrecho posible (recurso o grupo de recursos vs suscripción)
  • Usar roles integrados cuando sea posible en lugar de roles personalizados para un mantenimiento más fácil
  • Documentar la justificación empresarial para cada asignación de rol

تجنب

  • Asignar roles Owner o Contributor cuando hay roles más específicos disponibles
  • Asignar roles en ámbito de suscripción o grupo de gestión cuando el ámbito de nivel de recurso sería suficiente
  • Usar permisos comodín (*) en definiciones de roles personalizados

الأسئلة المتكررة

¿Cuál es la diferencia entre Storage Blob Data Reader y Storage Blob Data Owner?
Storage Blob Data Reader proporciona acceso de solo lectura a blobs y contenedores. Storage Blob Data Owner proporciona acceso completo, incluidos permisos de escritura, eliminación y configuración de ACL. Siempre usar Reader para privilegios mínimos.
¿Puedo asignar roles RBAC a identidades administradas?
Sí, puede asignar roles RBAC a identidades administradas asignadas por usuario y asignadas por sistema. Usar el principalId de la identidad administrada en la asignación de rol.
¿Cómo encuentro el ID de definición de rol para un rol integrado?
Usar Azure CLI: az role definition list --role-name "Storage Blob Data Reader" para obtener el roleDefinitionId (el ID completamente cualificado como /providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6bc1-4aae-9c59-2c7b10959305).
¿Qué ámbito debo usar para las asignaciones de roles?
Usar el ámbito más estrecho posible. Asignar a nivel de recurso para recursos individuales, grupo de recursos para múltiples recursos en el mismo grupo, y suscripción solo cuando se requiere acceso en toda la organización.
¿Puede esta habilidad ayudar con la gestión de derechos de Azure AD?
No, esta habilidad se centra en asignaciones de roles RBAC. Azure AD Privileged Identity Management (PIM) y la gestión de derechos son sistemas separados y no están dentro del alcance.
¿Cómo audito las asignaciones de roles existentes en mi suscripción?
Usar Azure CLI: az role assignment list --all --output table para listar todas las asignaciones, o consultas de Azure Resource Graph para auditoría de toda la suscripción. Esta habilidad no proporciona capacidades de auditoría.

تفاصيل المطور

المؤلف

microsoft

الترخيص

MIT

المستودع

https://github.com/microsoft/github-copilot-for-azure/tree/main/plugin/skills/azure-rbac/

مرجع

main

بنية الملفات

📄 SKILL.md