Compétences azure-rbac
📦

azure-rbac

Sûr

Attribuer des rôles RBAC Azure avec le moindre privilège

Cette compétence aide les administrateurs Azure à trouver le rôle RBAC minimal nécessaire pour des permissions spécifiques et génère les commandes CLI et le code Bicep pour l'attribuer de manière sécurisée.

Prend en charge: Claude Codex Code(CC)
🥉 74 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "azure-rbac". Quel rôle dois-je attribuer pour qu'une identité managée lise des blobs ?

Résultat attendu:

  • Storage Blob Data Reader (preview) est le rôle intégré recommandé pour l'accès en lecture seule au stockage blob.
  • Portée de la ressource : Le rôle peut être attribué au niveau du compte de stockage, du conteneur ou du blob.
  • Pour le moindre privilège, attribuez au niveau du conteneur spécifique plutôt que l'ensemble du compte de stockage.

Utilisation de "azure-rbac". Générer du code Bicep pour attribuer un rôle à un principal de service

Résultat attendu:

  • resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = { name: guid(subscription().id, servicePrincipalId, roleDefinitionId) properties: { principalId: servicePrincipalId roleDefinitionId: roleDefinitionId principalType: 'ServicePrincipal' } }

Audit de sécurité

Sûr
v1 • 2/21/2026

Static analysis flagged 4 instances of 'Weak cryptographic algorithm' at SKILL.md lines 3 and 8. These are FALSE POSITIVES. Line 3 contains YAML syntax (description: >-) for multiline strings. Line 8 references Azure MCP tools (azure__documentation, azure__extension_cli_generate). The skill is a legitimate Microsoft Azure RBAC helper that recommends least-privilege roles and generates infrastructure code.

1
Fichiers analysés
9
Lignes analysées
0
résultats
1
Total des audits
Aucun problème de sécurité trouvé

Motifs détectés

Weak Cryptographic Algorithm (False Positive)
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Accorder l'accès en lecture au stockage blob

Trouver le rôle minimal nécessaire pour qu'un principal de service lise les blobs dans un compte de stockage spécifique

Créer un rôle personnalisé pour les permissions d'API

Définir un rôle RBAC personnalisé avec des permissions d'API spécifiques lorsque les rôles intégrés sont trop larges

Automatiser l'attribution de rôles dans CI/CD

Générer du code Bicep pour les attributions de rôles qui peuvent être déployées via Azure DevOps ou GitHub Actions

Essayez ces prompts

Trouver le rôle pour la lecture de stockage 
Quel est le rôle RBAC minimal nécessaire pour lire les blobs dans un compte Azure Storage ?
Rôle pour identité managée 
Quel rôle RBAC dois-je attribuer à une identité managée pour qu'elle puisse lister les machines virtuelles dans un groupe de ressources ?
Générer CLI d'attribution de rôle 
Générez la commande Azure CLI pour attribuer le rôle Storage Blob Data Reader à une identité managée affectée par l'utilisateur sur un compte de stockage.
Créer une définition de rôle personnalisé 
Créez une définition de rôle RBAC personnalisé qui permet la lecture et la liste sur les conteneurs et blobs de stockage, mais pas les opérations de suppression ou d'écriture.

Bonnes pratiques

  • Attribuez toujours les rôles à la portée la plus étroite possible (ressource ou groupe de ressources vs abonnement)
  • Utilisez des rôles intégrés lorsque c'est possible au lieu de rôles personnalisés pour une maintenance plus facile
  • Documentez la justification métier pour chaque attribution de rôle

Éviter

  • Attribuer des rôles Owner ou Contributor lorsque des rôles plus spécifiques sont disponibles
  • Attribuer des rôles au niveau de l'abonnement ou du groupe d'administration lorsque la portée au niveau de la ressource suffirait
  • Utiliser des permissions wildcard (*) dans les définitions de rôles personnalisés

Foire aux questions

Quelle est la différence entre Storage Blob Data Reader et Storage Blob Data Owner ?
Storage Blob Data Reader fournit un accès en lecture seule aux blobs et conteneurs. Storage Blob Data Owner fournit un accès complet incluant l'écriture, la suppression et la définition des permissions ACL. Utilisez toujours Reader pour le moindre privilège.
Puis-je attribuer des rôles RBAC aux identités managées ?
Oui, vous pouvez attribuer des rôles RBAC aux identités managées affectées par l'utilisateur et par le système. Utilisez le principalId de l'identité managée dans l'attribution de rôle.
Comment trouver l'ID de définition de rôle pour un rôle intégré ?
Utilisez Azure CLI : az role definition list --role-name "Storage Blob Data Reader" pour obtenir le roleDefinitionId (l'ID complet comme /providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6bc1-4aae-9c59-2c7b10959305).
Quelle portée dois-je utiliser pour les attributions de rôles ?
Utilisez la portée la plus étroite possible. Attribuez au niveau de la ressource pour des ressources uniques, au groupe de ressources pour plusieurs ressources dans le même groupe, et au niveau de l'abonnement uniquement lorsqu'un accès à l'échelle de l'organisation est requis.
Cette compétence peut-elle aider avec la gestion des droits Azure AD ?
Non, cette compétence se concentre sur les attributions de rôles RBAC. Azure AD Privileged Identity Management (PIM) et la gestion des droits sont des systèmes séparés et ne sont pas dans le champ d'application.
Comment auditer les attributions de rôles existantes dans mon abonnement ?
Utilisez Azure CLI : az role assignment list --all --output table pour lister toutes les attributions, ou des requêtes Azure Resource Graph pour l'audit à l'échelle de l'abonnement. Cette compétence ne fournit pas de capacités d'audit.

Détails du développeur

Auteur

microsoft

Licence

MIT

Dépôt

https://github.com/microsoft/github-copilot-for-azure/tree/main/plugin/skills/azure-rbac/

Réf

main

Structure de fichiers

📄 SKILL.md