Szerkesztés

Megosztás a következőn keresztül:


Azure-szerepkördefiníciók listázása

A szerepkördefiníciók olyan engedélyek gyűjteményei, amelyek végrehajthatók, például olvasás, írás és törlés. Ezt általában csak szerepkörnek nevezik. Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) több mint 120 beépített szerepkört biztosít, vagy létrehozhat saját egyéni szerepköröket. Ez a cikk bemutatja, hogyan listázhatja az Azure-erőforrásokhoz való hozzáférés biztosításához használható beépített és egyéni szerepköröket.

A Microsoft Entra ID rendszergazdai szerepköreinek listáját a Microsoft Entra ID Rendszergazda istrator szerepkör-engedélyeivel kapcsolatban találja.

Előfeltételek

Egyik sem

Azure Portal

Az összes szerepkör listázása

Az alábbi lépéseket követve listázhatja az összes szerepkört az Azure Portalon.

  1. Az Azure Portalon kattintson a Minden szolgáltatás elemre, majd válasszon egy hatókört. Választhat például felügyeleti csoportokat, előfizetéseket, erőforráscsoportokat vagy erőforrásokat.

  2. Kattintson az adott erőforrásra.

  3. Kattintson a Hozzáférés-vezérlés (IAM) elemre.

  4. A beépített és egyéni szerepkörök listájának megtekintéséhez kattintson a Szerepkörök lapra.

    Képernyőkép a Szerepkörök listáról új felülettel.

  5. Egy adott szerepkör engedélyeinek megtekintéséhez a Részletek oszlopban kattintson a Nézet hivatkozásra.

    Megjelenik egy engedélypanel.

  6. Kattintson az Engedélyek fülre a kijelölt szerepkör engedélyeinek megtekintéséhez és kereséséhez.

    Képernyőkép a szerepkör-engedélyekről új felülettel.

Azure PowerShell

Az összes szerepkör listázása

Az Azure PowerShell összes szerepkörének listázásához használja a Get-AzRoleDefinition parancsot.

Get-AzRoleDefinition | FT Name, Description
AcrImageSigner                                    acr image signer
AcrQuarantineReader                               acr quarantine data reader
AcrQuarantineWriter                               acr quarantine data writer
API Management Service Contributor                Can manage service and the APIs
API Management Service Operator Role              Can manage service but not the APIs
API Management Service Reader Role                Read-only access to service and APIs
Application Insights Component Contributor        Can manage Application Insights components
Application Insights Snapshot Debugger            Gives user permission to use Application Insights Snapshot Debugge...
Automation Job Operator                           Create and Manage Jobs using Automation Runbooks.
Automation Operator                               Automation Operators are able to start, stop, suspend, and resume ...
...

Szerepkördefiníció listázása

Egy adott szerepkör részleteinek listázásához használja a Get-AzRoleDefinition parancsot.

Get-AzRoleDefinition <role_name>
PS C:\> Get-AzRoleDefinition "Contributor"

Name             : Contributor
Id               : b24988ac-6180-42a0-ab88-20f7382dd24c
IsCustom         : False
Description      : Lets you manage everything except access to resources.
Actions          : {*}
NotActions       : {Microsoft.Authorization/*/Delete, Microsoft.Authorization/*/Write,
                  Microsoft.Authorization/elevateAccess/Action}
DataActions      : {}
NotDataActions   : {}
AssignableScopes : {/}

Szerepkördefiníció listázása JSON formátumban

Egy szerepkör JSON formátumban való listázásához használja a Get-AzRoleDefinition parancsot.

Get-AzRoleDefinition <role_name> | ConvertTo-Json
PS C:\> Get-AzRoleDefinition "Contributor" | ConvertTo-Json

{
  "Name": "Contributor",
  "Id": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "IsCustom": false,
  "Description": "Lets you manage everything except access to resources.",
  "Actions": [
    "*"
  ],
  "NotActions": [
    "Microsoft.Authorization/*/Delete",
    "Microsoft.Authorization/*/Write",
    "Microsoft.Authorization/elevateAccess/Action",
    "Microsoft.Blueprint/blueprintAssignments/write",
    "Microsoft.Blueprint/blueprintAssignments/delete"
  ],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/"
  ]
}

Szerepkördefiníció engedélyeinek listázása

Egy adott szerepkör engedélyeinek listázásához használja a Get-AzRoleDefinition parancsot.

Get-AzRoleDefinition <role_name> | FL Actions, NotActions
PS C:\> Get-AzRoleDefinition "Contributor" | FL Actions, NotActions

Actions    : {*}
NotActions : {Microsoft.Authorization/*/Delete, Microsoft.Authorization/*/Write,
            Microsoft.Authorization/elevateAccess/Action,
            Microsoft.Blueprint/blueprintAssignments/write...}
(Get-AzRoleDefinition <role_name>).Actions
PS C:\> (Get-AzRoleDefinition "Virtual Machine Contributor").Actions

Microsoft.Authorization/*/read
Microsoft.Compute/availabilitySets/*
Microsoft.Compute/locations/*
Microsoft.Compute/virtualMachines/*
Microsoft.Compute/virtualMachineScaleSets/*
Microsoft.DevTestLab/schedules/*
Microsoft.Insights/alertRules/*
Microsoft.Network/applicationGateways/backendAddressPools/join/action
Microsoft.Network/loadBalancers/backendAddressPools/join/action
...

Azure CLI

Az összes szerepkör listázása

Az Összes szerepkör az Azure CLI-ben való listázásához használja az az szerepkördefiníciós listát.

az role definition list

Az alábbi példa az összes elérhető szerepkör-definíció nevét és leírását sorolja fel:

az role definition list --output json --query '[].{roleName:roleName, description:description}'
[
  {
    "description": "Can manage service and the APIs",
    "roleName": "API Management Service Contributor"
  },
  {
    "description": "Can manage service but not the APIs",
    "roleName": "API Management Service Operator Role"
  },
  {
    "description": "Read-only access to service and APIs",
    "roleName": "API Management Service Reader Role"
  },

  ...

]

Az alábbi példa az összes beépített szerepkört felsorolja.

az role definition list --custom-role-only false --output json --query '[].{roleName:roleName, description:description, roleType:roleType}'
[
  {
    "description": "Can manage service and the APIs",
    "roleName": "API Management Service Contributor",
    "roleType": "BuiltInRole"
  },
  {
    "description": "Can manage service but not the APIs",
    "roleName": "API Management Service Operator Role",
    "roleType": "BuiltInRole"
  },
  {
    "description": "Read-only access to service and APIs",
    "roleName": "API Management Service Reader Role",
    "roleType": "BuiltInRole"
  },
  
  ...

]

Szerepkördefiníció listázása

A szerepkör részleteinek listázásához használja az az role definition list(szerepkördefiníciós) listát.

az role definition list --name {roleName}

Az alábbi példa a közreműködői szerepkör definícióját sorolja fel:

az role definition list --name "Contributor"
[
  {
    "assignableScopes": [
      "/"
    ],
    "description": "Lets you manage everything except access to resources.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
    "name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
    "permissions": [
      {
        "actions": [
          "*"
        ],
        "dataActions": [],
        "notActions": [
          "Microsoft.Authorization/*/Delete",
          "Microsoft.Authorization/*/Write",
          "Microsoft.Authorization/elevateAccess/Action",
          "Microsoft.Blueprint/blueprintAssignments/write",
          "Microsoft.Blueprint/blueprintAssignments/delete"
        ],
        "notDataActions": []
      }
    ],
    "roleName": "Contributor",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions"
  }
]

Szerepkördefiníció engedélyeinek listázása

Az alábbi példa csak a közreműködői szerepkör műveleteit és nem műveleti műveleteit sorolja fel.

az role definition list --name "Contributor" --output json --query '[].{actions:permissions[0].actions, notActions:permissions[0].notActions}'
[
  {
    "actions": [
      "*"
    ],
    "notActions": [
      "Microsoft.Authorization/*/Delete",
      "Microsoft.Authorization/*/Write",
      "Microsoft.Authorization/elevateAccess/Action",
      "Microsoft.Blueprint/blueprintAssignments/write",
      "Microsoft.Blueprint/blueprintAssignments/delete"
    ]
  }
]

The following example lists just the actions of the Virtual Machine Contributor role.

az role definition list --name "Virtual Machine Contributor" --output json --query '[].permissions[0].actions'
[
  [
    "Microsoft.Authorization/*/read",
    "Microsoft.Compute/availabilitySets/*",
    "Microsoft.Compute/locations/*",
    "Microsoft.Compute/virtualMachines/*",
    "Microsoft.Compute/virtualMachineScaleSets/*",
    "Microsoft.Compute/disks/write",
    "Microsoft.Compute/disks/read",
    "Microsoft.Compute/disks/delete",
    "Microsoft.DevTestLab/schedules/*",
    "Microsoft.Insights/alertRules/*",
    "Microsoft.Network/applicationGateways/backendAddressPools/join/action",
    "Microsoft.Network/loadBalancers/backendAddressPools/join/action",

    ...

    "Microsoft.Storage/storageAccounts/listKeys/action",
    "Microsoft.Storage/storageAccounts/read",
    "Microsoft.Support/*"
  ]
]

REST API

Előfeltételek

A következő verziót kell használnia:

  • 2015-07-01 vagy újabb

További információkért tekintse meg az Azure RBAC REST API-k API-verzióit.

Az összes szerepkördefiníció listázása

A bérlői szerepkördefiníciók listázásához használja a Szerepkördefiníciók – REST API listázása lehetőséget.

  • Az alábbi példa egy bérlő összes szerepkördefiníciójának listáját tartalmazza:

    Kérelem

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01
    

    Válasz

    {
        "value": [
            {
                "properties": {
                    "roleName": "Billing Reader Plus",
                    "type": "CustomRole",
                    "description": "Read billing data and download invoices",
                    "assignableScopes": [
                        "/subscriptions/473a4f86-11e3-48cb-9358-e13c220a2f15"
                    ],
                    "permissions": [
                        {
                            "actions": [
                                "Microsoft.Authorization/*/read",
                                "Microsoft.Billing/*/read",
                                "Microsoft.Commerce/*/read",
                                "Microsoft.Consumption/*/read",
                                "Microsoft.Management/managementGroups/read",
                                "Microsoft.CostManagement/*/read",
                                "Microsoft.Billing/invoices/download/action",
                                "Microsoft.CostManagement/exports/*"
                            ],
                            "notActions": [
                                "Microsoft.CostManagement/exports/delete"
                            ],
                            "dataActions": [],
                            "notDataActions": []
                        }
                    ],
                    "createdOn": "2021-05-22T21:57:23.5764138Z",
                    "updatedOn": "2021-05-22T21:57:23.5764138Z",
                    "createdBy": "68f66d4c-c0eb-4009-819b-e5315d677d70",
                    "updatedBy": "68f66d4c-c0eb-4009-819b-e5315d677d70"
                },
                "id": "/providers/Microsoft.Authorization/roleDefinitions/17adabda-4bf1-4f4e-8c97-1f0cab6dea1c",
                "type": "Microsoft.Authorization/roleDefinitions",
                "name": "17adabda-4bf1-4f4e-8c97-1f0cab6dea1c"
            },
            {
                "properties": {
                    "roleName": "AcrPush",
                    "type": "BuiltInRole",
                    "description": "acr push",
                    "assignableScopes": [
                        "/"
                    ],
                    "permissions": [
                        {
                            "actions": [
                                "Microsoft.ContainerRegistry/registries/pull/read",
                                "Microsoft.ContainerRegistry/registries/push/write"
                            ],
                            "notActions": [],
                            "dataActions": [],
                            "notDataActions": []
                        }
                    ],
                    "createdOn": "2018-10-29T17:52:32.5201177Z",
                    "updatedOn": "2021-11-11T20:13:07.4993029Z",
                    "createdBy": null,
                    "updatedBy": null
                },
                "id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
                "type": "Microsoft.Authorization/roleDefinitions",
                "name": "8311e382-0749-4cb8-b61a-304f252e45ec"
            }
        ]
    }
    

Szerepkör-definíciók felsorolása

A szerepkördefiníciók listázásához használja a Szerepkördefiníciók – REST API listázása lehetőséget. Az eredmények pontosításához meg kell adnia egy hatókört és egy választható szűrőt.

  1. Kezdje a következő kéréssel:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions?$filter={$filter}&api-version=2022-04-01
    

    Bérlőszintű hatókör esetén ezt a kérést használhatja:

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?filter={$filter}&api-version=2022-04-01
    
  2. Az URI-on belül cserélje le a(z) {scope} kifejezést arra a hatókörre, amelynek a szerepkördefinícióit listázni szeretné.

    Hatókör Típus
    providers/Microsoft.Management/managementGroups/{groupId1} Felügyeleti csoport
    subscriptions/{subscriptionId1} Előfizetés
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Erőforráscsoport
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Erőforrás

    Az előző példában a microsoft.web egy erőforrás-szolgáltató, amely egy App Service-példányra hivatkozik. Hasonlóképpen bármely más erőforrás-szolgáltatót is használhat, és megadhatja a hatókört. További információkért tekintse meg az Azure-erőforrás-szolgáltatókat és -típusokat , valamint a támogatott Azure-erőforrás-szolgáltatói műveleteket.

  3. Cserélje le a(z) {filter} elemet a szerepkördefiníciós lista szűréséhez alkalmazni kívánt feltételre.

    Szűrő Leírás
    $filter=type+eq+'{type}' A megadott típusú szerepkördefiníciók listája. A szerepkör típusa lehet CustomRole vagy BuiltInRole.

    Az alábbi példa egy bérlő összes egyéni szerepkörét felsorolja:

    Kérelem

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?$filter=type+eq+'CustomRole'&api-version=2022-04-01
    

    Válasz

    {
        "value": [
            {
                "properties": {
                    "roleName": "Billing Reader Plus",
                    "type": "CustomRole",
                    "description": "Read billing data and download invoices",
                    "assignableScopes": [
                        "/subscriptions/473a4f86-11e3-48cb-9358-e13c220a2f15"
                    ],
                    "permissions": [
                        {
                            "actions": [
                                "Microsoft.Authorization/*/read",
                                "Microsoft.Billing/*/read",
                                "Microsoft.Commerce/*/read",
                                "Microsoft.Consumption/*/read",
                                "Microsoft.Management/managementGroups/read",
                                "Microsoft.CostManagement/*/read",
                                "Microsoft.Billing/invoices/download/action",
                                "Microsoft.CostManagement/exports/*"
                            ],
                            "notActions": [
                                "Microsoft.CostManagement/exports/delete"
                            ],
                            "dataActions": [],
                            "notDataActions": []
                        }
                    ],
                    "createdOn": "2021-05-22T21:57:23.5764138Z",
                    "updatedOn": "2021-05-22T21:57:23.5764138Z",
                    "createdBy": "68f66d4c-c0eb-4009-819b-e5315d677d70",
                    "updatedBy": "68f66d4c-c0eb-4009-819b-e5315d677d70"
                },
                "id": "/providers/Microsoft.Authorization/roleDefinitions/17adabda-4bf1-4f4e-8c97-1f0cab6dea1c",
                "type": "Microsoft.Authorization/roleDefinitions",
                "name": "17adabda-4bf1-4f4e-8c97-1f0cab6dea1c"
            }
        ]
    }
    

Szerepkördefiníció listázása

Egy adott szerepkör részleteinek listázásához használja a szerepkördefiníciókat – Get or Role Definitions – Get By ID REST API.

  1. Kezdje a következő kéréssel:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}?api-version=2022-04-01
    

    Bérlőszintű szerepkördefiníció esetén a következő kérést használhatja:

    GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}?api-version=2022-04-01
    
  2. Az URI-on belül cserélje le a(z) {scope} kifejezést arra a hatókörre, amelynek a szerepkördefinícióját fel szeretné sorolni.

    Hatókör Típus
    providers/Microsoft.Management/managementGroups/{groupId1} Felügyeleti csoport
    subscriptions/{subscriptionId1} Előfizetés
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Erőforráscsoport
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Erőforrás
  3. Cserélje le a(z) {roleDefinitionId} elemet a szerepkördefiníció azonosítóra.

    Az alábbi példa az Olvasó szerepkör definícióját sorolja fel:

Request

GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7?api-version=2022-04-01

Response

{
    "properties": {
        "roleName": "Reader",
        "type": "BuiltInRole",
        "description": "View all resources, but does not allow you to make any changes.",
        "assignableScopes": [
            "/"
        ],
        "permissions": [
            {
                "actions": [
                    "*/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ],
        "createdOn": "2015-02-02T21:55:09.8806423Z",
        "updatedOn": "2021-11-11T20:13:47.8628684Z",
        "createdBy": null,
        "updatedBy": null
    },
    "id": "/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "type": "Microsoft.Authorization/roleDefinitions",
    "name": "acdd72a7-3385-48ef-bd42-f606fba81ae7"
}