Visualización de los recursos de Azure asociados para una identidad administrada asignada por el usuario (versión preliminar)

2025-02-28

En este artículo se explica cómo ver los recursos de Azure asociados a una identidad administrada asignada por el usuario. Esta característica está disponible en versión preliminar pública.

Prerrequisitos

Si no está familiarizado con las identidades administradas de los recursos de Azure, consulte la sección de introducción.
Si aún no tiene una cuenta de Azure, regístrese para obtener una cuenta gratuita.

Visualización de los recursos para una identidad administrada asignada por el usuario

La posibilidad de ver rápidamente qué recursos de Azure están asociados a una identidad administrada asignada por el usuario proporciona mayor visibilidad sobre el entorno. Puede identificar rápidamente identidades no utilizadas que se pueden eliminar de forma segura y saber qué recursos se verán afectados cambiando los permisos o la pertenencia a grupos de una identidad administrada.

Portal

En Azure Portal busque Identidades administradas.
Seleccione una identidad administrada
En el menú de la izquierda, seleccione el vínculo Recursos asociados
Se mostrará una lista de los recursos de Azure asociados a la identidad administrada

Screenshot showing a list of associated resources for a user-assigned managed identity.

Seleccione el nombre del recurso que se va a traer a su página de resumen.

Filtrado y ordenación por tipo de recurso

Filtre los recursos escribiendo en el cuadro de filtro en la parte superior de la página de resumen. Puede filtrar por nombre, tipo, grupo de recursos e identificador de suscripción.

Seleccione el título de columna para ordenar alfabéticamente, ascendente o descendente.

API DE REST

También se puede acceder a la lista de recursos asociados mediante la API de REST. Este punto de conexión es independiente del punto de conexión de API que se usa para recuperar una lista de identidades administradas asignadas por el usuario. Necesitará la siguiente información:

Id. de suscripción
Nombre del recurso de la identidad administrada asignada por el usuario para la que desea ver los recursos
Grupo de recursos de la identidad administrada asignada por el usuario

Formato de solicitud

https://management.azure.com/subscriptions/{resourceID of user-assigned identity}/listAssociatedResources?$filter={filter}&$orderby={orderby}&$skip={skip}&$top={top}&$skiptoken={skiptoken}&api-version=2021-09-30-preview

Parámetros

Parámetro	Ejemplo	Descripción
$filter	`type eq 'microsoft.cognitiveservices/account' and contains(name, 'test')`	Expresión de OData que permite filtrar cualquiera de los campos disponibles: nombre, tipo, resourceGroup, subscriptionId, subscriptionDisplayName Se admiten las operaciones siguientes: `and`, `or`, `eq` y `contains`
$orderby	`name asc`	Expresión de OData que permite ordenar por cualquiera de los campos disponibles
$skip	50	Número de elementos que desea omitir mientras navega por los resultados.
$top	10	Número de recursos que se van a devolver. 0 devolverá solo un recuento de los recursos.

Puedes ver una solicitud de muestra a la API de REST:

POST https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/devrg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/devIdentity/listAssociatedResources?$filter={filter}&$orderby={orderby}&$skip={skip}&$top={top}&skipToken={skipToken}&api-version=2021-09-30-preview

Observa una respuesta de muestra de la API de REST:

{
  "totalCount": 2,
  "value": [
    {
      "id": "/subscriptions/{subId}/resourceGroups/testrg/providers/Microsoft.CognitiveServices/accounts/test1",
      "name": "test1",
      "type": "microsoft.cognitiveservices/accounts",
      "resourceGroup": "testrg",
      "subscriptionId": "{subId}",
      "subscriptionDisplayName": "TestSubscription"
    },
    {
      "id": "/subscriptions/{subId}/resourceGroups/testrg/providers/Microsoft.CognitiveServices/accounts/test2",
      "name": "test2",
      "type": "microsoft.cognitiveservices/accounts",
      "resourceGroup": "testrg",
      "subscriptionId": "{subId}",
      "subscriptionDisplayName": "TestSubscription"
    }
  ],
  "nextLink": "https://management.azure.com/subscriptions/{subId}/resourceGroups/testrg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testid?skiptoken=ew0KICAiJGlkIjogIjEiLA0KICAiTWF4Um93cyI6IDIsDQogICJSb3dzVG9Ta2lwIjogMiwNCiAgIkt1c3RvQ2x1c3RlclVybCI6ICJodHRwczovL2FybXRvcG9sb2d5Lmt1c3RvLndpbmRvd3MubmV0Ig0KfQ%253d%253d&api-version=2021"
}

Interfaz de línea de comandos

Para ver los recursos asociados para una identidad administrada asignada por el usuario, ejecute el siguiente comando:

az identity list-resources --resource-group <ResourceGroupName> --name <ManagedIdentityName>

La respuesta tendrá un aspecto similar al siguiente:

[
  {
    "id": "/subscriptions/XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130/resourceGroups/ProductionServices/providers/Microsoft.Compute/virtualMachines/linux-prod-1-US",
    "name": "linux-prod-1-US",
    "resourceGroup": "productionservices",
    "subscriptionDisplayName": "Visual Studio Enterprise Subscription",
    "subscriptionId": "XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130",
    "type": "microsoft.compute/virtualmachines"
  },
  {
    "id": "/subscriptions/XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130/resourceGroups/ProductionServices/providers/Microsoft.Web/sites/prodStatusCheck-US",
    "name": "prodStatusCheck-US",
    "resourceGroup": "productionservices",
    "subscriptionDisplayName": "Visual Studio Enterprise Subscription",
    "subscriptionId": "XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130",
    "type": "microsoft.web/sites"
  },
  {
    "id": "/subscriptions/XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130/resourceGroups/ProductionServices/providers/Microsoft.Web/sites/salesApp-US-1",
    "name": "salesApp-US-1",
    "resourceGroup": "productionservices",
    "subscriptionDisplayName": "Visual Studio Enterprise Subscription",
    "subscriptionId": "XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130",
    "type": "microsoft.web/sites"
  },
  {
    "id": "/subscriptions/XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130/resourceGroups/ProductionServices/providers/Microsoft.Web/sites/salesPortal-us-2",
    "name": "salesPortal-us-2",
    "resourceGroup": "productionservices",
    "subscriptionDisplayName": "Visual Studio Enterprise Subscription",
    "subscriptionId": "XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130",
    "type": "microsoft.web/sites"
  },
  {
    "id": "/subscriptions/XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130/resourceGroups/vmss/providers/Microsoft.Compute/virtualMachineScaleSets/vmsstest",
    "name": "vmsstest",
    "resourceGroup": "vmss",
    "subscriptionDisplayName": "Visual Studio Enterprise Subscription",
    "subscriptionId": "XXXX-XXXX-XXXX-XXXX-XXXfc47ab8130",
    "type": "microsoft.compute/virtualmachinescalesets"
  }
]

API REST mediante PowerShell

No hay ningún comando de PowerShell específico para devolver los recursos asociados de una identidad administrada, pero puede usar la API de REST en PowerShell mediante el siguiente comando:

Invoke-AzRestMethod -Path "/subscriptions/XXX-XXX-XXX-XXX/resourceGroups/test-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/test-identity-name/listAssociatedResources?api-version=2021-09-30-PREVIEW&%24orderby=name%20asc&%24skip=0&%24top=100" -Method Post

Nota

Se devolverán todos los recursos asociados a una identidad, independientemente de los permisos del usuario. El usuario debe tener acceso solamente para leer la identidad administrada. Esto significa que pueden verse más recursos de los que el usuario puede ver en cualquier otra parte del portal. Esto es para proporcionar visibilidad completa del uso de la identidad. Si el usuario no tiene acceso a un recurso asociado, se mostrará un error si intenta acceder a él desde la lista.

Eliminar una identidad administrada asignada por el usuario

Al seleccionar el botón Eliminar para una identidad administrada asignada por el usuario, verá una lista de hasta 10 recursos asociados para esa identidad. El recuento completo se mostrará en la parte superior del panel. Esta lista le permite ver qué recursos se verán afectados al eliminar la identidad. Se le pedirá que confirme la decisión.

Screenshot showing the delete confirmation screen for a user-assigned managed identity.

Este proceso de confirmación solo está disponible en el portal. Para ver los recursos de una identidad antes de eliminarlos mediante la API de REST, recupere la lista de recursos manualmente de antemano.

Limitaciones

Esta funcionalidad está disponible en todas las regiones públicas y estará disponible en USGov y China en las próximas semanas.
Las solicitudes de API para los recursos asociados están limitadas a una por segundo por inquilino. Si supera este límite, puede que reciba el error HTTP 429. Este límite no se aplica a la recuperación de una lista de identidades administradas asignadas por el usuario.
Los tipos de recursos de Azure que están en versión preliminar o su compatibilidad con identidades administradas están en versión preliminar, es posible que no aparezcan en la lista de recursos asociados hasta que estén totalmente disponibles con carácter general. Esta lista incluye clústeres de Service Fabric, planos técnicos y servicios de aprendizaje automático.
Esta funcionalidad se limita a los inquilinos con menos de 5000 suscripciones. Se mostrará un error si el inquilino tiene más de 5000 suscripciones.
La lista de recursos asociados mostrará el tipo de recurso, no el nombre para mostrar.
Las asignaciones de Azure Policy aparecen en la lista, pero sus nombres no se muestran correctamente.
Esta funcionalidad aún no está disponible a través de PowerShell.

Pasos siguientes

Identidades administradas para recursos de Azure