Azure-szerepkör-hozzárendelések listázása a REST API használatával
Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure-erőforrásokhoz való hozzáférés kezeléséhez használt engedélyezési rendszer. To determine what resources users, groups, service principals, or managed identities have access to, you list their role assignments. Ez a cikk bemutatja, hogyan listázhatja a szerepkör-hozzárendeléseket a REST API használatával.
Megjegyzés:
Ha a szervezet kiszervezett felügyeleti funkciókkal rendelkezik egy Azure Lighthouse-t használó szolgáltatónak, az adott szolgáltató által engedélyezett szerepkör-hozzárendelések itt nem jelennek meg. Hasonlóképpen, a szolgáltatói bérlő felhasználói nem fogják látni az ügyfél bérlőjében lévő felhasználók szerepkör-hozzárendeléseit, függetlenül attól, hogy milyen szerepkörhöz lettek hozzárendelve.
Megjegyzés:
További információ a személyes adatok megtekintésével vagy törlésével kapcsolatban: Azure érintettek kérelmei a GDPR-rel kapcsolatban. A GDPR-ról további információt a Microsoft Adatvédelmi központ GDPR-szakaszában és a Szolgáltatásmegbízhatósági portál GDPR szakaszában talál.
Előfeltételek
A következő verziót kell használnia:
2015-07-01
vagy újabb2022-04-01
vagy újabb, hogy feltételeket tartalmazzon
További információkért tekintse meg az Azure RBAC REST API-k API-verzióit.
Szerepkör-hozzárendelések felsorolása
Az Azure RBAC-ben a hozzáférés listázásához listázhatja a szerepkör-hozzárendeléseket. A szerepkör-hozzárendelések listázásához használja a szerepkör-hozzárendelések lekérése vagy a REST API-k listázása egyikét. Az eredmények pontosításához meg kell adnia egy hatókört és egy választható szűrőt.
Kezdje a következő kéréssel:
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter={filter}
Az URI-on belül cserélje le a(z) {scope} kifejezést arra a hatókörre, amelynek a szerepkör-hozzárendeléseit listázni szeretné.
Scope Típus providers/Microsoft.Management/managementGroups/{groupId1}
Felügyeleti csoport subscriptions/{subscriptionId1}
Előfizetés subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1
Erőforráscsoport subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1
Resource Az előző példában a microsoft.web egy erőforrás-szolgáltató, amely egy App Service-példányra hivatkozik. Hasonlóképpen bármely más erőforrás-szolgáltatót is használhat, és megadhatja a hatókört. További információkért tekintse meg az Azure-erőforrás-szolgáltatókat és -típusokat , valamint a támogatott Azure-erőforrás-szolgáltatói műveleteket.
Cserélje le a(z) {filter} elemet a szerepkör-hozzárendelési lista szűréséhez alkalmazni kívánt feltételre.
Filter Leírás $filter=atScope()
Csak a megadott hatókörhöz tartozó szerepkör-hozzárendeléseket sorolja fel, a szubszkópokban lévő szerepkör-hozzárendeléseket nem. $filter=assignedTo('{objectId}')
Egy adott felhasználó vagy szolgáltatásnév szerepkör-hozzárendeléseit sorolja fel.
Ha a felhasználó egy szerepkör-hozzárendeléssel rendelkező csoport tagja, akkor a szerepkör-hozzárendelés is megjelenik a listában. Ez a szűrő tranzitív a csoportok esetében, ami azt jelenti, hogy ha a felhasználó egy csoport tagja, és ez a csoport egy másik, szerepkör-hozzárendeléssel rendelkező csoport tagja, akkor a szerepkör-hozzárendelés is megjelenik.
Ez a szűrő csak egy felhasználó vagy szolgáltatásnév objektumazonosítóját fogadja el. Csoport objektumazonosítóját nem adhatja át.$filter=atScope()+and+assignedTo('{objectId}')
A megadott felhasználó vagy szolgáltatásnév szerepkör-hozzárendeléseit sorolja fel a megadott hatókörben. $filter=principalId+eq+'{objectId}'
Egy adott felhasználó, csoport vagy szolgáltatásnév szerepkör-hozzárendeléseit sorolja fel.
Az alábbi kérés felsorolja a megadott felhasználóhoz tartozó összes szerepkör-hozzárendelést az előfizetés hatókörében:
GET https://management.azure.com/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()+and+assignedTo('{objectId1}')
Az alábbiakban egy példa látható a kimenetre:
{
"value": [
{
"properties": {
"roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"principalId": "{objectId1}",
"principalType": "User",
"scope": "/subscriptions/{subscriptionId1}",
"condition": null,
"conditionVersion": null,
"createdOn": "2022-01-15T21:08:45.4904312Z",
"updatedOn": "2022-01-15T21:08:45.4904312Z",
"createdBy": "{createdByObjectId1}",
"updatedBy": "{updatedByObjectId1}",
"delegatedManagedIdentityResourceId": null,
"description": null
},
"id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
"type": "Microsoft.Authorization/roleAssignments",
"name": "{roleAssignmentId1}"
}
]
}