Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém, který používáte ke správě přístupu k prostředkům Azure. Pokud chcete určit, k jakým prostředkům mají uživatelé, skupiny, instanční objekty nebo spravované identity přístup, uveďte jejich přiřazení rolí. Tento článek popisuje, jak vypsat přiřazení rolí pomocí Azure CLI.
Poznámka:
Pokud má vaše organizace odsouděné funkce správy poskytovateli služeb, který používá Azure Lighthouse, nezobrazí se tady přiřazení rolí autorizovaných poskytovatelem služeb. Podobně uživatelé v tenantovi poskytovatele služeb neuvidí přiřazení rolí pro uživatele v tenantovi zákazníka bez ohledu na přiřazenou roli.
Požadavky
Zobrazení seznamu přiřazení rolí pro uživatele
Pokud chcete zobrazit seznam přiřazení rolí pro konkrétního uživatele, použijte příkaz az role assignment list:
az role assignment list --assignee {assignee}
Ve výchozím nastavení se zobrazí pouze přiřazení rolí pro aktuální předplatné. Pokud chcete zobrazit přiřazení rolí pro aktuální předplatné a níže, přidejte --all parametr. Pokud chcete zahrnout přiřazení rolí v nadřazených oborech, přidejte --include-inherited parametr. Pokud chcete zahrnout přiřazení rolí pro skupiny, u kterých je uživatel přechodným členem, přidejte --include-groups parametr.
Následující příklad uvádí přiřazení rolí, která jsou přiřazena přímo patlong@contoso.com uživateli:
az role assignment list --all --assignee patlong@contoso.com --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'
[
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Backup Operator",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
},
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Virtual Machine Contributor",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
}
]
Výpis přiřazení rolí pro skupinu prostředků
Pokud chcete zobrazit seznam přiřazení rolí, které existují v rozsahu skupiny prostředků, použijte az role assignment list:
az role assignment list --resource-group {resourceGroup}
Následující příklad uvádí přiřazení rolí pro skupinu prostředků pharma-sales:
az role assignment list --resource-group pharma-sales --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'
[
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Backup Operator",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
},
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Virtual Machine Contributor",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
},
...
]
Seznam přiřazení rolí pro předplatné
Pokud chcete zobrazit seznam všech přiřazení rolí v rámci předplatného, použijte az role assignment list. Pokud chcete získat ID předplatného, najdete ho na kartě Předplatná v portálu Azure nebo můžete použít az account list.
az role assignment list --scope "/subscriptions/{subscriptionId}"
Příklad:
az role assignment list --scope "/subscriptions/00000000-0000-0000-0000-000000000000" --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'
[
{
"principalName": "admin@contoso.com",
"roleDefinitionName": "Owner",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000"
},
{
"principalName": "Subscription Admins",
"roleDefinitionName": "Owner",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000"
},
{
"principalName": "alain@contoso.com",
"roleDefinitionName": "Reader",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000"
},
...
]
Seznam přiřazení rolí pro správcovskou skupinu
Pokud chcete vypsat všechna přiřazení rolí v rámci skupiny pro správu, použijte az role assignment list. Pokud chcete získat ID skupiny pro správu, najdete ho v okně Skupiny pro správu na webu Azure Portal nebo můžete použít az account management-group list.
az role assignment list --scope /providers/Microsoft.Management/managementGroups/{groupId}
Příklad:
az role assignment list --scope /providers/Microsoft.Management/managementGroups/sales-group --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'
[
{
"principalName": "admin@contoso.com",
"roleDefinitionName": "Owner",
"scope": "/providers/Microsoft.Management/managementGroups/sales-group"
},
{
"principalName": "alain@contoso.com",
"roleDefinitionName": "Reader",
"scope": "/providers/Microsoft.Management/managementGroups/sales-group"
}
]
Seznam přiřazení rolí pro spravovanou identitu
Získejte ID objektu zabezpečení spravované identity přiřazené systémem nebo přiřazené uživatelem.
Pokud chcete získat ID hlavního objektu spravované identity přiřazené uživatelem, můžete použít az ad sp list nebo az identity list.
az ad sp list --display-name "{name}" --query [].id --output tsvPokud chcete získat hlavní ID spravované identity přiřazené systémem, můžete použít az ad sp list.
az ad sp list --display-name "{vmname}" --query [].id --output tsvPokud chcete zobrazit seznam přiřazení rolí, použijte příkaz az role assignment list.
Ve výchozím nastavení se zobrazí pouze přiřazení rolí pro aktuální předplatné. Pokud chcete zobrazit přiřazení rolí pro aktuální předplatné a níže, přidejte
--allparametr. Pokud chcete zobrazit zděděná přiřazení rolí, přidejte--include-inheritedparametr.az role assignment list --assignee {objectId}