スキル azure-rbac
📦

azure-rbac

安全

Atribuir Funções Azure RBAC com Privilégio Mínimo

Esta skill ajuda os administradores Azure a encontrar a função RBAC mínima necessária para permissões específicas e gera os comandos CLI e código Bicep para atribui-la com segurança.

対応: Claude Codex Code(CC)
📊 71 十分
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「azure-rbac」を使用しています。 What role should I assign for a managed identity to read blobs?

期待される結果:

  • Storage Blob Data Reader (preview) é a função interna recomendada para acesso somente leitura ao armazenamento de blobs.
  • Escopo do recurso: A função pode ser atribuída no nível da conta de armazenamento, contêiner ou blob.
  • Para privilégio mínimo, atribua no nível do contêiner específico em vez de toda a conta de armazenamento.

「azure-rbac」を使用しています。 Generate Bicep code to assign a role to a service principal

期待される結果:

  • resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = { name: guid(subscription().id, servicePrincipalId, roleDefinitionId) properties: { principalId: servicePrincipalId roleDefinitionId: roleDefinitionId principalType: 'ServicePrincipal' } }

セキュリティ監査

安全
v1 • 2/21/2026

Static analysis flagged 4 instances of 'Weak cryptographic algorithm' at SKILL.md lines 3 and 8. These are FALSE POSITIVES. Line 3 contains YAML syntax (description: >-) for multiline strings. Line 8 references Azure MCP tools (azure__documentation, azure__extension_cli_generate). The skill is a legitimate Microsoft Azure RBAC helper that recommends least-privilege roles and generates infrastructure code.

1
スキャンされたファイル
9
解析された行数
0
検出結果
1
総監査数
セキュリティ問題は見つかりませんでした

検出されたパターン

Weak Cryptographic Algorithm (False Positive)
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
33
コミュニティ
100
セキュリティ
91
仕様準拠

作れるもの

Conceder acesso de leitura ao blob storage

Encontrar a função mínima necessária para um principal de serviço ler blobs em uma conta de armazenamento específica

Criar função personalizada para permissões de API

Definir uma função RBAC personalizada com permissões específicas de API quando as funções internas são muito abrangentes

Automatizar atribuição de função em CI/CD

Gerar código Bicep para atribuições de funções que podem ser implantadas via Azure DevOps ou GitHub Actions

これらのプロンプトを試す

Encontrar função para leitura de armazenamento 
Qual é a função RBAC mínima necessária para ler blobs em uma conta de Armazenamento Azure?
Função para identidade gerenciada 
Qual função RBAC devo atribuir a uma identidade gerenciada para listar máquinas virtuais em um grupo de recursos?
Gerar CLI de atribuição de função 
Gerar o comando Azure CLI para atribuir a função Storage Blob Data Reader a uma identidade gerenciada atribuída pelo usuário em uma conta de armazenamento.
Criar definição de função personalizada 
Criar uma definição de função RBAC personalizada que permite leitura e lista em contêineres e blobs de armazenamento, mas não operações de exclusão ou gravação.

ベストプラクティス

  • Sempre atribua funções no escopo mais específico possível (recurso ou grupo de recursos versus assinatura)
  • Use funções internas quando possível em vez de funções personalizadas para manutenção mais fácil
  • Documente a justificativa de negócios para cada atribuição de função

回避

  • Atribuir funções Owner ou Contributor quando funções mais específicas estão disponíveis
  • Atribuir funções no escopo de assinatura ou grupo de gerenciamento quando o escopo de nível de recurso seria suficiente
  • Usar permissões curinga (*) em definições de funções personalizadas

よくある質問

Qual é a diferença entre Storage Blob Data Reader e Storage Blob Data Owner?
Storage Blob Data Reader fornece acesso somente leitura a blobs e contêineres. Storage Blob Data Owner fornece acesso completo incluindo permissões de gravação, exclusão e definição de ACL. Sempre use Reader para privilégio mínimo.
Posso atribuir funções RBAC a identidades gerenciadas?
Sim, você pode atribuir funções RBAC a identidades gerenciadas atribuídas pelo usuário e atribuídas pelo sistema. Use o principalId da identidade gerenciada na atribuição de função.
Como encontro o ID de definição de função para uma função interna?
Use Azure CLI: az role definition list --role-name "Storage Blob Data Reader" para obter o roleDefinitionId (o ID totalmente qualificado como /providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6bc1-4aae-9c59-2c7b10959305).
Qual escopo devo usar para atribuições de função?
Use o escopo mais específico possível. Atribua no nível de recurso para recursos únicos, grupo de recursos para vários recursos no mesmo grupo, e assinatura apenas quando for necessário acesso em toda a organização.
Esta skill pode ajudar com gerenciamento de atribuições do Azure AD?
Não, esta skill foca em atribuições de funções RBAC. Azure AD Privileged Identity Management (PIM) e gerenciamento de atribuições são sistemas separados e não estão no escopo.
Como audito as atribuições de funções existentes na minha assinatura?
Use Azure CLI: az role assignment list --all --output table para listar todas as atribuições, ou consultas do Azure Resource Graph para auditoria em toda a assinatura. Esta skill não fornece capacidades de auditoria.

開発者の詳細

作成者

microsoft

ライセンス

MIT

リポジトリ

https://github.com/microsoft/github-copilot-for-azure/tree/main/plugin/skills/azure-rbac/

参照

main

ファイル構成

📄 SKILL.md