Share via

Azure-szerepkör-hozzárendelések listázása a REST API használatával

  • Cikk

Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure-erőforrásokhoz való hozzáférés kezeléséhez használt engedélyezési rendszer. To determine what resources users, groups, service principals, or managed identities have access to, you list their role assignments. Ez a cikk bemutatja, hogyan listázhatja a szerepkör-hozzárendeléseket a REST API használatával.

Megjegyzés:

Ha a szervezet kiszervezett felügyeleti funkciókkal rendelkezik egy Azure Lighthouse-t használó szolgáltatónak, az adott szolgáltató által engedélyezett szerepkör-hozzárendelések itt nem jelennek meg. Hasonlóképpen, a szolgáltatói bérlő felhasználói nem fogják látni az ügyfél bérlőjében lévő felhasználók szerepkör-hozzárendeléseit, függetlenül attól, hogy milyen szerepkörhöz lettek hozzárendelve.

Megjegyzés:

További információ a személyes adatok megtekintésével vagy törlésével kapcsolatban: Azure érintettek kérelmei a GDPR-rel kapcsolatban. A GDPR-ról további információt a Microsoft Adatvédelmi központ GDPR-szakaszában és a Szolgáltatásmegbízhatósági portál GDPR szakaszában talál.

Előfeltételek

A következő verziót kell használnia:

  • 2015-07-01 vagy újabb
  • 2022-04-01 vagy újabb, hogy feltételeket tartalmazzon

További információkért tekintse meg az Azure RBAC REST API-k API-verzióit.

Szerepkör-hozzárendelések felsorolása

Az Azure RBAC-ben a hozzáférés listázásához listázhatja a szerepkör-hozzárendeléseket. A szerepkör-hozzárendelések listázásához használja a szerepkör-hozzárendelések lekérése vagy a REST API-k listázása egyikét. Az eredmények pontosításához meg kell adnia egy hatókört és egy választható szűrőt.

  1. Kezdje a következő kéréssel:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter={filter}

  2. Az URI-on belül cserélje le a(z) {scope} kifejezést arra a hatókörre, amelynek a szerepkör-hozzárendeléseit listázni szeretné.

    Scope Típus
    providers/Microsoft.Management/managementGroups/{groupId1} Felügyeleti csoport
    subscriptions/{subscriptionId1} Előfizetés
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Erőforráscsoport
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Resource

    Az előző példában a microsoft.web egy erőforrás-szolgáltató, amely egy App Service-példányra hivatkozik. Hasonlóképpen bármely más erőforrás-szolgáltatót is használhat, és megadhatja a hatókört. További információkért tekintse meg az Azure-erőforrás-szolgáltatókat és -típusokat , valamint a támogatott Azure-erőforrás-szolgáltatói műveleteket.

  3. Cserélje le a(z) {filter} elemet a szerepkör-hozzárendelési lista szűréséhez alkalmazni kívánt feltételre.

    Filter Leírás
    $filter=atScope() Csak a megadott hatókörhöz tartozó szerepkör-hozzárendeléseket sorolja fel, a szubszkópokban lévő szerepkör-hozzárendeléseket nem.
    $filter=assignedTo('{objectId}') Egy adott felhasználó vagy szolgáltatásnév szerepkör-hozzárendeléseit sorolja fel.
    Ha a felhasználó egy szerepkör-hozzárendeléssel rendelkező csoport tagja, akkor a szerepkör-hozzárendelés is megjelenik a listában. Ez a szűrő tranzitív a csoportok esetében, ami azt jelenti, hogy ha a felhasználó egy csoport tagja, és ez a csoport egy másik, szerepkör-hozzárendeléssel rendelkező csoport tagja, akkor a szerepkör-hozzárendelés is megjelenik.
    Ez a szűrő csak egy felhasználó vagy szolgáltatásnév objektumazonosítóját fogadja el. Csoport objektumazonosítóját nem adhatja át.
    $filter=atScope()+and+assignedTo('{objectId}') A megadott felhasználó vagy szolgáltatásnév szerepkör-hozzárendeléseit sorolja fel a megadott hatókörben.
    $filter=principalId+eq+'{objectId}' Egy adott felhasználó, csoport vagy szolgáltatásnév szerepkör-hozzárendeléseit sorolja fel.

Az alábbi kérés felsorolja a megadott felhasználóhoz tartozó összes szerepkör-hozzárendelést az előfizetés hatókörében:

GET https://management.azure.com/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()+and+assignedTo('{objectId1}')

Az alábbiakban egy példa látható a kimenetre:

{
    "value": [
        {
            "properties": {
                "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
                "principalId": "{objectId1}",
                "principalType": "User",
                "scope": "/subscriptions/{subscriptionId1}",
                "condition": null,
                "conditionVersion": null,
                "createdOn": "2022-01-15T21:08:45.4904312Z",
                "updatedOn": "2022-01-15T21:08:45.4904312Z",
                "createdBy": "{createdByObjectId1}",
                "updatedBy": "{updatedByObjectId1}",
                "delegatedManagedIdentityResourceId": null,
                "description": null
            },
            "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
            "type": "Microsoft.Authorization/roleAssignments",
            "name": "{roleAssignmentId1}"
        }
    ]
}

További lépések