Habilidades azure-rbac
📦

azure-rbac

Seguro

Atribuir Funções Azure RBAC com Privilégio Mínimo

Esta skill ajuda os administradores Azure a encontrar a função RBAC mínima necessária para permissões específicas e gera os comandos CLI e código Bicep para atribui-la com segurança.

Suporta: Claude Codex Code(CC)
🥉 74 Bronze
1

Baixar o ZIP da skill

2

Upload no Claude

Vá em Configurações → Capacidades → Skills → Upload skill

3

Ative e comece a usar

Testar

A utilizar "azure-rbac". What role should I assign for a managed identity to read blobs?

Resultado esperado:

  • Storage Blob Data Reader (preview) é a função interna recomendada para acesso somente leitura ao armazenamento de blobs.
  • Escopo do recurso: A função pode ser atribuída no nível da conta de armazenamento, contêiner ou blob.
  • Para privilégio mínimo, atribua no nível do contêiner específico em vez de toda a conta de armazenamento.

A utilizar "azure-rbac". Generate Bicep code to assign a role to a service principal

Resultado esperado:

  • resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = { name: guid(subscription().id, servicePrincipalId, roleDefinitionId) properties: { principalId: servicePrincipalId roleDefinitionId: roleDefinitionId principalType: 'ServicePrincipal' } }

Auditoria de Segurança

Seguro
v1 • 2/21/2026

Static analysis flagged 4 instances of 'Weak cryptographic algorithm' at SKILL.md lines 3 and 8. These are FALSE POSITIVES. Line 3 contains YAML syntax (description: >-) for multiline strings. Line 8 references Azure MCP tools (azure__documentation, azure__extension_cli_generate). The skill is a legitimate Microsoft Azure RBAC helper that recommends least-privilege roles and generates infrastructure code.

1
Arquivos analisados
9
Linhas analisadas
0
achados
1
Total de auditorias
Nenhum problema de segurança encontrado

Padrões Detectados

Weak Cryptographic Algorithm (False Positive)
Auditado por: claude

Pontuação de qualidade

38
Arquitetura
100
Manutenibilidade
87
Conteúdo
50
Comunidade
100
Segurança
91
Conformidade com especificações

O Que Você Pode Construir

Conceder acesso de leitura ao blob storage

Encontrar a função mínima necessária para um principal de serviço ler blobs em uma conta de armazenamento específica

Criar função personalizada para permissões de API

Definir uma função RBAC personalizada com permissões específicas de API quando as funções internas são muito abrangentes

Automatizar atribuição de função em CI/CD

Gerar código Bicep para atribuições de funções que podem ser implantadas via Azure DevOps ou GitHub Actions

Tente Estes Prompts

Encontrar função para leitura de armazenamento 
Qual é a função RBAC mínima necessária para ler blobs em uma conta de Armazenamento Azure?
Função para identidade gerenciada 
Qual função RBAC devo atribuir a uma identidade gerenciada para listar máquinas virtuais em um grupo de recursos?
Gerar CLI de atribuição de função 
Gerar o comando Azure CLI para atribuir a função Storage Blob Data Reader a uma identidade gerenciada atribuída pelo usuário em uma conta de armazenamento.
Criar definição de função personalizada 
Criar uma definição de função RBAC personalizada que permite leitura e lista em contêineres e blobs de armazenamento, mas não operações de exclusão ou gravação.

Melhores Práticas

  • Sempre atribua funções no escopo mais específico possível (recurso ou grupo de recursos versus assinatura)
  • Use funções internas quando possível em vez de funções personalizadas para manutenção mais fácil
  • Documente a justificativa de negócios para cada atribuição de função

Evitar

  • Atribuir funções Owner ou Contributor quando funções mais específicas estão disponíveis
  • Atribuir funções no escopo de assinatura ou grupo de gerenciamento quando o escopo de nível de recurso seria suficiente
  • Usar permissões curinga (*) em definições de funções personalizadas

Perguntas Frequentes

Qual é a diferença entre Storage Blob Data Reader e Storage Blob Data Owner?
Storage Blob Data Reader fornece acesso somente leitura a blobs e contêineres. Storage Blob Data Owner fornece acesso completo incluindo permissões de gravação, exclusão e definição de ACL. Sempre use Reader para privilégio mínimo.
Posso atribuir funções RBAC a identidades gerenciadas?
Sim, você pode atribuir funções RBAC a identidades gerenciadas atribuídas pelo usuário e atribuídas pelo sistema. Use o principalId da identidade gerenciada na atribuição de função.
Como encontro o ID de definição de função para uma função interna?
Use Azure CLI: az role definition list --role-name "Storage Blob Data Reader" para obter o roleDefinitionId (o ID totalmente qualificado como /providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6bc1-4aae-9c59-2c7b10959305).
Qual escopo devo usar para atribuições de função?
Use o escopo mais específico possível. Atribua no nível de recurso para recursos únicos, grupo de recursos para vários recursos no mesmo grupo, e assinatura apenas quando for necessário acesso em toda a organização.
Esta skill pode ajudar com gerenciamento de atribuições do Azure AD?
Não, esta skill foca em atribuições de funções RBAC. Azure AD Privileged Identity Management (PIM) e gerenciamento de atribuições são sistemas separados e não estão no escopo.
Como audito as atribuições de funções existentes na minha assinatura?
Use Azure CLI: az role assignment list --all --output table para listar todas as atribuições, ou consultas do Azure Resource Graph para auditoria em toda a assinatura. Esta skill não fornece capacidades de auditoria.

Detalhes do Desenvolvedor

Autor

microsoft

Licença

MIT

Repositório

https://github.com/microsoft/github-copilot-for-azure/tree/main/plugin/skills/azure-rbac/

Referência

main

Estrutura de arquivos

📄 SKILL.md