Auflisten von Azure-Rollenzuweisungen mithilfe der REST-API

Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) ist das Autorisierungssystem für die Verwaltung des Zugriffs auf Azure-Ressourcen. Um zu ermitteln, auf welche Ressourcen Benutzer, Gruppen, Dienstprinzipale oder verwaltete Identitäten Zugriff haben, können Sie deren Rollenzuweisungen auflisten. In diesem Artikel wird beschrieben, wie Rollenzuweisungen mithilfe der REST-API aufgeführt werden.

Hinweis

Wenn Ihre Organisation Verwaltungsfunktionen an einen Dienstanbieter ausgelagert hat, der die Azure Lighthouse verwendet, werden die von diesem Dienstanbieter autorisierten Rollenzuweisungen hier nicht angezeigt. Ebenso werden Benutzern im Dienstanbietermandanten keine Rollenzuweisungen für Benutzer im Mandanten eines Kunden angezeigt, unabhängig von der Rolle, die sie zugewiesen wurden.

Hinweis

Informationen über Anzeigen oder Löschen von personenbezogenen Daten finden Sie unter Anträge betroffener Personen für Azure im Rahmen der DSGVO. Weitere Informationen zur DSGVO finden Sie im Abschnitt zur DSGVO im Microsoft Trust Center und im Abschnitt zur DSGVO im Service Trust Portal.

Voraussetzungen

Sie müssen die folgende Version verwenden:

• 2015-07-01 oder höher
• 2022-04-01 oder höher, um Bedingungen einzubeziehen

Weitere Informationen finden Sie unter API-Versionen von Azure RBAC REST-APIs.

Auflisten von Rollenzuweisungen

Zum Auflisten des Zugriffs in Azure RBAC führen Sie die Rollenzuweisungen auf. Um Rollenzuweisungen aufzulisten, verwenden Sie eine der Get- oder List-REST-APIs für Rollenzuweisungen. Um die Ergebnisse einzugrenzen, geben Sie einen Bereich und einen optionalen Filter an.

1. Beginnen Sie mit der folgenden Anforderung:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter={filter}
   

2. Ersetzen Sie innerhalb des URIs {scope} durch den Bereich, für den die Rollen aufgelistet werden sollen.

   Umfang	Typ
   providers/Microsoft.Management/managementGroups/{groupId1}	Verwaltungsgruppe
   subscriptions/{subscriptionId1}	Subscription
   subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1	Resource group
   subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Resource

   Im vorherigen Beispiel ist „microsoft.web“ ein Ressourcenanbieter, der auf eine App Service-Instanz verweist. Analog dazu können Sie einen beliebigen anderen Ressourcenanbieter verwenden und den Bereich angeben. Weitere Informationen finden Sie unter Azure-Ressourcenanbieter und -typen und unter unterstützten Vorgängen für Azure-Ressourcenanbieter.

3. Ersetzen Sie {filter} durch die Bedingung, die zum Filtern der Liste mit den Rollenzuweisungen angewendet werden soll.

   Filter	Beschreibung
   $filter=atScope()	Listet nur die Rollenzuweisungen für den angegebenen Bereich auf, ohne die Rollenzuweisungen der Unterbereiche.
   $filter=assignedTo('{objectId}')	Listet die Rollenzuweisungen für bestimmte Benutzer oder Dienstprinzipale auf. Wenn der Benutzer Mitglied einer Gruppe ist, die über eine Rollenzuweisung verfügt, wird diese Rollenzuweisung ebenfalls aufgeführt. Dieser Filter ist für Gruppen transitiv, das heißt: Wenn der Benutzer Mitglied einer Gruppe und diese Gruppe wiederum Mitglied einer anderen Gruppe ist, die über eine Rollenzuweisung verfügt, wird diese Rollenzuweisung ebenfalls aufgeführt. Dieser Filter akzeptiert nur eine Objekt-ID für einen Benutzer oder einen Dienstprinzipal. Für eine Gruppe kann keine Objekt-ID übergeben werden.
   $filter=atScope()+and+assignedTo('{objectId}')	Listet die Rollenzuweisungen für bestimmte Benutzer oder Dienstprinzipale sowie im angegebenen Umfang auf.
   $filter=principalId+eq+'{objectId}'	Listet die Rollenzuweisungen für bestimmte Benutzer, Gruppen oder Dienstprinzipale auf.

Mit der folgenden Anforderung werden alle Rollenzuweisungen für den angegebenen Benutzer im Abonnementbereich angezeigt:

GET https://management.azure.com/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()+and+assignedTo('{objectId1}')

Nachfolgend sehen Sie ein Beispiel für die Ausgabe:

{
    "value": [
        {
            "properties": {
                "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
                "principalId": "{objectId1}",
                "principalType": "User",
                "scope": "/subscriptions/{subscriptionId1}",
                "condition": null,
                "conditionVersion": null,
                "createdOn": "2022-01-15T21:08:45.4904312Z",
                "updatedOn": "2022-01-15T21:08:45.4904312Z",
                "createdBy": "{createdByObjectId1}",
                "updatedBy": "{updatedByObjectId1}",
                "delegatedManagedIdentityResourceId": null,
                "description": null
            },
            "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
            "type": "Microsoft.Authorization/roleAssignments",
            "name": "{roleAssignmentId1}"
        }
    ]
}

Nächste Schritte

• Zuweisen von Azure-Rollen mithilfe der REST-API
• Azure REST-API-Referenz