Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure-erőforrásokhoz való hozzáférés kezeléséhez használt engedélyezési rendszer. Annak meghatározásához, hogy a felhasználók, csoportok, szolgáltatásnevek vagy felügyelt identitások milyen erőforrásokhoz férhetnek hozzá, sorolja fel a szerepkör-hozzárendeléseiket. Ez a cikk bemutatja, hogyan listázhatja a szerepkör-hozzárendeléseket az Azure PowerShell használatával.
Megjegyzés:
Javasoljuk az Azure Az PowerShell modult használni az Azure-val való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulba való migrálásról további információt az Azure PowerShell migrálása az AzureRM-ből az Az-be című témakörben talál.
Megjegyzés:
Ha a szervezet kiszervezett felügyeleti funkciókkal rendelkezik egy Azure Lighthouse-t használó szolgáltatónak, az adott szolgáltató által engedélyezett szerepkör-hozzárendelések itt nem jelennek meg. Hasonlóképpen, a szolgáltatói bérlő felhasználói nem fogják látni az ügyfél bérlőjében lévő felhasználók szerepkör-hozzárendeléseit, függetlenül attól, hogy milyen szerepkörhöz lettek hozzárendelve.
Előfeltételek
Az aktuális előfizetés szerepkör-hozzárendeléseinek listázása
Az aktuális előfizetés összes szerepkör-hozzárendelésének (beleértve a gyökér- és felügyeleti csoportoktól örökölt szerepkör-hozzárendeléseket) listájának lekérésének legegyszerűbb módja a Get-AzRoleAssignment paraméter nélküli használata.
Get-AzRoleAssignment
PS C:\> Get-AzRoleAssignment
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : Alain
SignInName : alain@example.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Marketing
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 22222222-2222-2222-2222-222222222222
ObjectType : Group
CanDelegate : False
...
Előfizetés szerepkör-hozzárendeléseinek listázása
Ha egy előfizetés hatókörében szeretné listázni az összes szerepkör-hozzárendelést, használja a Get-AzRoleAssignment parancsot. Az előfizetés-azonosító lekéréséhez megtalálhatja az Azure Portal Előfizetések paneljén, vagy használhatja a Get-AzSubscription parancsot.
Get-AzRoleAssignment -Scope /subscriptions/<subscription_id>
PS C:\> Get-AzRoleAssignment -Scope /subscriptions/00000000-0000-0000-0000-000000000000
Szerepkör-hozzárendelések listázása egy felhasználóhoz
Egy adott felhasználóhoz rendelt összes szerepkör listázásához használja a Get-AzRoleAssignment parancsot.
Get-AzRoleAssignment -SignInName <email_or_userprincipalname>
PS C:\> Get-AzRoleAssignment -SignInName isabella@example.com | FL DisplayName, RoleDefinitionName, Scope
DisplayName : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
A Get-AzRoleAssignment használatával listázhatja egy adott felhasználóhoz rendelt összes szerepkört, valamint azokhoz a csoportokhoz rendelt szerepköröket, amelyekhez a felhasználó tartozik.
Get-AzRoleAssignment -SignInName <email_or_userprincipalname> -ExpandPrincipalGroups
Get-AzRoleAssignment -SignInName isabella@example.com -ExpandPrincipalGroups | FL DisplayName, RoleDefinitionName, Scope
Erőforráscsoport szerepkör-hozzárendeléseinek listázása
Ha egy erőforráscsoport hatókörében szeretné listázni az összes szerepkör-hozzárendelést, használja a Get-AzRoleAssignment parancsot.
Get-AzRoleAssignment -ResourceGroupName <resource_group_name>
PS C:\> Get-AzRoleAssignment -ResourceGroupName pharma-sales | FL DisplayName, RoleDefinitionName, Scope
DisplayName : Alain Charon
RoleDefinitionName : Backup Operator
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Alain Charon
RoleDefinitionName : Virtual Machine Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
Felügyeleti csoport szerepkör-hozzárendeléseinek listázása
Ha egy felügyeleti csoport hatókörében szeretné listázni az összes szerepkör-hozzárendelést, használja a Get-AzRoleAssignment parancsot. A felügyeleti csoport azonosítójának lekéréséhez megtalálhatja az Azure Portal Felügyeleti csoportok paneljén, vagy használhatja a Get-AzManagementGroup szolgáltatást.
Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/<group_id>
PS C:\> Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/marketing-group
Erőforrás szerepkör-hozzárendeléseinek listázása
Egy adott erőforrás szerepkör-hozzárendeléseinek listázásához használja a Get-AzRoleAssignment parancsot és a paramétert -Scope . A hatókör az erőforrástól függően eltérő lesz. A hatókör lekéréséhez paraméterek nélkül futtatva Get-AzRoleAssignment listázhatja az összes szerepkör-hozzárendelést, majd megkeresheti a listázni kívánt hatókört.
Get-AzRoleAssignment -Scope "/subscriptions/<subscription_id>/resourcegroups/<resource_group_name>/providers/<provider_name>/<resource_type>/<resource>
Az alábbi példa bemutatja, hogyan listázhatja a tárfiók szerepkör-hozzárendeléseit. Vegye figyelembe, hogy ez a parancs a magasabb hatókörű szerepkör-hozzárendeléseket is felsorolja, például az erőforráscsoportokat és az előfizetéseket, amelyek erre a tárfiókra vonatkoznak.
PS C:\> Get-AzRoleAssignment -Scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"
Ha csak az erőforrásokhoz közvetlenül hozzárendelt szerepkör-hozzárendeléseket szeretné listázni, a Where-Object paranccsal szűrheti a listát.
PS C:\> Get-AzRoleAssignment | Where-Object {$_.Scope -eq "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"}
Klasszikus szolgáltatásadminisztrátor és társ-rendszergazdák szerepkör-hozzárendeléseinek listázása
A klasszikus előfizetés-rendszergazda és társ-rendszergazdák szerepkör-hozzárendeléseinek listázásához használja a Get-AzRoleAssignment parancsot.
Get-AzRoleAssignment -IncludeClassicAdministrators
Felügyelt identitás szerepkör-hozzárendeléseinek listázása
Kérje le a rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitás objektumazonosítóját.
A felhasználó által hozzárendelt felügyelt identitás objektumazonosítójának lekéréséhez használhatja a Get-AzADServicePrincipal parancsot.
Get-AzADServicePrincipal -DisplayNameBeginsWith "<name> or <vmname>"A szerepkör-hozzárendelések listázásához használja a Get-AzRoleAssignment parancsot.
Get-AzRoleAssignment -ObjectId <objectid>
Következő lépések
Azure-szerepkörök hozzárendelése az Azure PowerShell használatával