azure-rbac

帮助用户选择最小权限的 Azure RBAC 角色，并生成分配命令与 Bicep 代码。

来源

GitHub

更新于

2026-06-07

// 安全评估低风险

仅提示词，不执行代码
开源可审计

正在进行安全审计…

凭证密钥
网络外发
代码执行
数据访问
来源供应链

// 安装

复制安装指令，让 AI 自动完成配置 · 推荐新手

请帮我安装 askskill 上的 "azure-rbac" 技能：
1. 下载 https://raw.githubusercontent.com/microsoft/GitHub-Copilot-for-Azure/main/plugin/skills/azure-rbac/SKILL.md
2. 保存为 ~/.claude/skills/azure-rbac/SKILL.md
3. 装好后重载技能，告诉我可以用了

// 下载

下载 SKILL.md机读安装清单 ↗

// 用法示例

为托管标识分配 Blob 只读权限

输入

我有一个 Azure 托管标识，需要只读访问某个存储账户中的 Blob。请推荐最小权限的 Azure RBAC 角色，并生成 Azure CLI 命令和 Bicep 代码来完成角色分配。

预期产出

返回合适的最小权限角色名称、适用范围说明，以及可直接使用的 CLI 命令和 Bicep 示例。

判断某资源场景应授予什么角色

输入

我要让一个应用注册访问 Key Vault 中的机密，但不希望给过高权限。请根据需求判断应分配什么 Azure RBAC 角色，并解释为什么这是最小权限选择。

预期产出

给出匹配需求的角色建议、权限边界解释，以及避免过度授权的说明。

生成自定义角色与分配指导

输入

内置角色无法满足需求，我需要一个只能读取资源组中虚拟机状态的自定义角色。请帮我生成 Azure 自定义角色定义，并说明执行角色分配的人需要哪些权限。

预期产出

输出自定义角色定义示例、分配方式，以及授予者所需权限的清晰说明。

// 文档

Use the 'azure__documentation' tool to find the minimal role definition that matches the desired permissions the user wants to assign to an identity. If no built-in role matches the desired permissions, use the 'azure__extension_cli_generate' tool to create a custom role definition with the desired permissions. Then use the 'azure__extension_cli_generate' tool to generate the CLI commands needed to assign that role to the identity. Finally, use the 'azure__bicepschema' and 'azure__get_azure_bestpractices' tools to provide a Bicep code snippet for adding the role assignment. If user is asking about role necessary to set access, refer to Prerequisites for Granting Roles down below:

Prerequisites for Granting Roles

To assign RBAC roles to identities, you need a role that includes the Microsoft.Authorization/roleAssignments/write permission. The most common roles with this permission are:

User Access Administrator (least privilege - recommended for role assignment only)
Owner (full access including role assignment)
Custom Role with Microsoft.Authorization/roleAssignments/write