Man kann die für den eigenen Tenant verfügbaren Regionen recht leicht mit Hilfe der Azure CLI (z.B. über Azure CloudShell) abfragen:

az account list-locations --query "[].{Name:name, DisplayName:displayName}" -o table

Regionen und Verfügbarkeitszonen in Azure | Microsoft Docs

Wie geht man nun an das Thema heran? Zunächst muss man zwei Dinge in Erfahrung bringen:

• Den Namen des Resource-Providers um den es geht
• Die Operationen auf diesem Provider, die man erlauben oder verbieten möchte

Dazu kann man sich in den Microsoft Docs informieren:

• https://docs.microsoft.com/en-us/azure/azure-resource-manager/management/azure-services-resource-providers – hier findet man die Resource Provider zu dein einzelnen Azure Services
• https://docs.microsoft.com/de-de/azure/role-based-access-control/resource-provider-operations – und hier die auf den jeweiligen Resource Providern möglichen Operationen

Für den Fall der Virtual Machine finden wir dazu also:

• Der Resource Provider heisst „Microsoft.Compute„
• Auf diesem sind u.a. folgende Aktionen vorgesehen:
  • Microsoft.Compute/virtualMachines/powerOff/action
    • Powers off the virtual machine. Note that the virtual machine will continue to be billed.
  • Microsoft.Compute/virtualMachines/read
    • Get the properties of a virtual machine
  • Microsoft.Compute/virtualMachines/restart/action
    • Restarts the virtual machine
  • Microsoft.Compute/virtualMachines/start/action
    • Starts the virtual machine

Die Liste der möglichen Aktionen auf einem Resource Provider kann man auch via PowerShell bekommen, z.B.:

Get-AzProviderOperation "Microsoft.Compute/*" | FT Operation, Description -AutoSize

Man muss allerdings berücksichtigen, dass es zum Starten einer VM auch erstmal nötig ist, die VM überhaupt sehen zu dürfen…

Als nächstes muss man die Rollen-Definition im JSON-Format schreiben. Dazu kann man sich auch vorab eine bereits existierende Rollendefinition herunterladen, z.B. mit

Get-AzRoleDefinition -Name "Virtual Machine Contributor" | ConvertTo-Json

Nun passt man sich das JSON so an, dass die gewünschten Aktionen abgedeckt sind. Dabei wird die „ID“ Zeile entfernt und „IsCustom“ auf „true“ gesetzt. Außerdem muss der AssignableScope gesetzt werden. In unserem Fall führt das in etwa zu dieser Definition:

{
  "Name": "Virtual Machine Starter-Stopper",
  "IsCustom": true,
  "Description": "Lets you see, start, restart and stop Virtual Machines.",
  "Actions": [
	"Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.Compute/virtualMachines/read",
	"Microsoft.Compute/virtualMachines/start/action",
	"Microsoft.Compute/virtualMachines/restart/action",
	"Microsoft.Compute/virtualMachines/powerOff/action",
	"Microsoft.Compute/virtualMachines/deallocate/action"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/00000000-1234-5678-91234-000000000000"
  ]
}

Diese Definition kann man z.B. mit vi in der Azure Cloud Shell in ein File schreiben. Diese kann man dann wiederum mit

New-AzRoleDefinition -InputFile myRole.json

in eine neue Rolle schreiben lassen.

Nun kann man die Rolle bspw. über das Azure Portal zuweisen:

Und damit kann der Benutzer dann genau die definierten Rechte wahrnehmen – und nicht mehr!

Viel Spaß beim Ausprobieren!