Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie die Azure-Ressourcen anzeigen, die einer vom Benutzer zugewiesenen verwalteten Identität zugeordnet sind. Dieses Feature ist in der öffentlichen Vorschau verfügbar.
Voraussetzungen
- Wenn Sie nicht mit verwalteten Identitäten für Azure-Ressourcen vertraut sind, helfen Ihnen die Informationen in der Übersicht weiter.
- Falls Sie noch nicht über ein Azure-Konto verfügen, können Sie sich für ein kostenloses Konto registrieren.
Anzeigen von Ressourcen für eine vom Benutzer zugewiesene verwaltete Identität
Wenn Sie schnell sehen können, welche Azure-Ressourcen einer vom Benutzer zugewiesenen verwalteten Identität zugeordnet sind, erhalten Sie einen besseren Einblick in Ihre Umgebung. Sie können schnell nicht verwendete Identitäten identifizieren, die sicher gelöscht werden können, und wissen, welche Ressourcen betroffen sind, indem Sie die Berechtigungen oder die Gruppenmitgliedschaft einer verwalteten Identität ändern.
Portal
- Suchen Sie im Azure-Portal nach verwalteten Identitäten.
- Auswählen einer verwalteten Identität
- Wählen Sie im linken Menü den Link " Zugeordnete Ressourcen " aus.
- Es wird eine Liste der Azure-Ressourcen angezeigt, die der verwalteten Identität zugeordnet sind.
Wählen Sie den Ressourcennamen aus, der zur Zusammenfassungsseite hinzugefügt werden soll.
Filtern und Sortieren nach Ressourcentyp
Filtern Sie die Ressourcen, indem Sie das Filterfeld oben auf der Zusammenfassungsseite verwenden. Sie können nach Namen, Typ, Ressourcengruppe und Abonnement-ID filtern.
Wählen Sie den Spaltentitel aus, um alphabetisch, aufsteigend oder absteigend zu sortieren.
REST-API
Auf die Liste der zugeordneten Ressourcen kann auch über die REST-API zugegriffen werden. Dieser Endpunkt ist vom API-Endpunkt getrennt, der zum Abrufen einer Liste der vom Benutzer zugewiesenen verwalteten Identitäten verwendet wird. Sie benötigen die folgenden Informationen:
- Abonnement-ID
- Ressourcenname der vom Benutzer zugewiesenen verwalteten Identität, für die Sie die Ressourcen anzeigen möchten
- Ressourcengruppe der benutzerseitig zugewiesenen verwalteten Identität
Anforderungsformat
https://management.azure.com/subscriptions/{resourceID of user-assigned identity}/listAssociatedResources?$filter={filter}&$orderby={orderby}&$skip={skip}&$top={top}&$skiptoken={skiptoken}&api-version=2021-09-30-preview
Parameter
| Parameter | Beispiel | BESCHREIBUNG |
|---|---|---|
| $filter | type eq 'microsoft.cognitiveservices/account' and contains(name, 'test') |
Ein OData-Ausdruck, mit dem Sie alle verfügbaren Felder filtern können: Name, Typ, resourceGroup, subscriptionId, subscriptionDisplayName Die folgenden Vorgänge werden unterstützt: and, or, eq und contains |
| $orderby | name asc |
Ein OData-Ausdruck, mit dem Sie nach einem der verfügbaren Felder sortieren können |
| $skip | 50 | Die Anzahl der Elemente, die Sie überspringen möchten, während Sie die Ergebnisse durchlaufen. |
| $top | 10 | Die Anzahl der zurückzugebenden Ressourcen. Null gibt nur eine Anzahl der Ressourcen zurück. |
Sie können eine Beispielanforderung an die REST-API sehen:
POST https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/devrg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/devIdentity/listAssociatedResources?$filter={filter}&$orderby={orderby}&$skip={skip}&$top={top}&skiptoken={skiptoken}&api-version=2021-09-30-preview
Beachten Sie eine Beispielantwort der REST-API:
{
"totalCount": 2,
"value": [
{
"id": "/subscriptions/{subId}/resourceGroups/testrg/providers/Microsoft.CognitiveServices/accounts/test1",
"name": "test1",
"type": "microsoft.cognitiveservices/accounts",
"resourceGroup": "testrg",
"subscriptionId": "{subId}",
"subscriptionDisplayName": "TestSubscription"
},
{
"id": "/subscriptions/{subId}/resourceGroups/testrg/providers/Microsoft.CognitiveServices/accounts/test2",
"name": "test2",
"type": "microsoft.cognitiveservices/accounts",
"resourceGroup": "testrg",
"subscriptionId": "{subId}",
"subscriptionDisplayName": "TestSubscription"
}
],
"nextLink": "https://management.azure.com/subscriptions/{subId}/resourceGroups/testrg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testid?skiptoken=ew0KICAiJGlkIjogIjEiLA0KICAiTWF4Um93cyI6IDIsDQogICJSb3dzVG9Ta2lwIjogMiwNCiAgIkt1c3RvQ2x1c3RlclVybCI6ICJodHRwczovL2FybXRvcG9sb2d5Lmt1c3RvLndpbmRvd3MubmV0Ig0KfQ%253d%253d&api-version=2021"
}
Befehlszeilenschnittstelle
Führen Sie den folgenden Befehl aus, um die zugeordneten Ressourcen für eine vom Benutzer zugewiesene verwaltete Identität anzuzeigen:
az identity list-resources --resource-group <ResourceGroupName> --name <ManagedIdentityName>
Die Antwort sieht wie folgt aus:
[
{
"id": "/subscriptions/XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130/resourceGroups/ProductionServices/providers/Microsoft.Compute/virtualMachines/linux-prod-1-US",
"name": "linux-prod-1-US",
"resourceGroup": "productionservices",
"subscriptionDisplayName": "Visual Studio Enterprise Subscription",
"subscriptionId": "XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130",
"type": "microsoft.compute/virtualmachines"
},
{
"id": "/subscriptions/XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130/resourceGroups/ProductionServices/providers/Microsoft.Web/sites/prodStatusCheck-US",
"name": "prodStatusCheck-US",
"resourceGroup": "productionservices",
"subscriptionDisplayName": "Visual Studio Enterprise Subscription",
"subscriptionId": "XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130",
"type": "microsoft.web/sites"
},
{
"id": "/subscriptions/XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130/resourceGroups/ProductionServices/providers/Microsoft.Web/sites/salesApp-US-1",
"name": "salesApp-US-1",
"resourceGroup": "productionservices",
"subscriptionDisplayName": "Visual Studio Enterprise Subscription",
"subscriptionId": "XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130",
"type": "microsoft.web/sites"
},
{
"id": "/subscriptions/XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130/resourceGroups/ProductionServices/providers/Microsoft.Web/sites/salesPortal-us-2",
"name": "salesPortal-us-2",
"resourceGroup": "productionservices",
"subscriptionDisplayName": "Visual Studio Enterprise Subscription",
"subscriptionId": "XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130",
"type": "microsoft.web/sites"
},
{
"id": "/subscriptions/XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130/resourceGroups/vmss/providers/Microsoft.Compute/virtualMachineScaleSets/vmsstest",
"name": "vmsstest",
"resourceGroup": "vmss",
"subscriptionDisplayName": "Visual Studio Enterprise Subscription",
"subscriptionId": "XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130",
"type": "microsoft.compute/virtualmachinescalesets"
}
]
REST-API mit PowerShell
Es gibt keinen bestimmten PowerShell-Befehl zum Zurückgeben der zugehörigen Ressourcen einer verwalteten Identität, Sie können jedoch die REST-API in PowerShell mit dem folgenden Befehl verwenden:
Invoke-AzRestMethod -Path "/subscriptions/XXX-XXX-XXX-XXX/resourceGroups/test-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/test-identity-name/listAssociatedResources?api-version=2021-09-30-PREVIEW&%24orderby=name%20asc&%24skip=0&%24top=100" -Method Post
Hinweis
Alle ressourcen, die einer Identität zugeordnet sind, werden unabhängig von den Berechtigungen des Benutzers zurückgegeben. Der Benutzer muss nur Zugriff haben, um die verwaltete Identität zu lesen. Dies bedeutet, dass mehr Ressourcen sichtbar sein können, als der Benutzer an anderer Stelle im Portal sehen kann. Dies soll vollständige Transparenz über die Nutzung der Identität bieten. Wenn der Benutzer keinen Zugriff auf eine zugeordnete Ressource hat, wird ein Fehler angezeigt, wenn er versucht, über die Liste darauf zuzugreifen.
Löschen einer vom Benutzer zugewiesenen verwalteten Identität
Wenn Sie die Schaltfläche "Löschen" für eine vom Benutzer zugewiesene verwaltete Identität auswählen, wird eine Liste mit bis zu 10 zugeordneten Ressourcen für diese Identität angezeigt. Die vollständige Anzahl wird oben im Bereich angezeigt. Mit dieser Liste können Sie sehen, welche Ressourcen durch das Löschen der Identität betroffen sind. Sie werden aufgefordert, Ihre Entscheidung zu bestätigen.
Dieser Bestätigungsprozess ist nur im Portal verfügbar. Um die Ressourcen einer Identität anzuzeigen, bevor Sie sie mithilfe der REST-API löschen, rufen Sie die Liste der Ressourcen manuell im Voraus ab.
Einschränkungen
- Diese Funktionalität ist in allen öffentlichen Regionen und in USGov und China verfügbar.
- API-Anforderungen für zugeordnete Ressourcen sind pro Sekunde pro Mandant begrenzt. Wenn Sie diesen Grenzwert überschreiten, erhalten Sie möglicherweise einen
HTTP 429Fehler. Dieser Grenzwert gilt nicht für das Abrufen einer Liste der vom Benutzer zugewiesenen verwalteten Identitäten. - Azure Resources-Typen, die sich in der Vorschau befinden oder deren Unterstützung für verwaltete Identitäten in der Vorschau angezeigt wird, werden möglicherweise erst in der Liste der zugeordneten Ressourcen angezeigt, wenn sie vollständig allgemein verfügbar sind. Diese Liste enthält Service Fabric-Cluster, Blueprints und Machine Learning-Dienste.
- Diese Funktionalität ist auf Mandanten mit weniger als 5.000 Abonnements beschränkt. Wenn der Mandant über mehr als 5.000 Abonnements verfügt, wird ein Fehler angezeigt.
- Die Liste der zugeordneten Ressourcen zeigt den Ressourcentyp und nicht den Anzeigenamen an.
- Azure-Richtlinienzuweisungen werden in der Liste angezeigt, aber ihre Namen werden nicht ordnungsgemäß angezeigt.
- Diese Funktionalität ist noch nicht über PowerShell verfügbar.