Az Azure RBAC korlátainak hibaelhárítása
Ez a cikk néhány gyakori megoldást ismertet, amikor túllépi az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) korlátait.
Előfeltételek
- Olvasói szerepkör az Azure Resource Graph-lekérdezések futtatásához.
- Szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkör a szerepkör-hozzárendelések hozzáadásához vagy eltávolításához.
- A User Access Rendszergazda istrator szerepkör szerepkör-hozzárendelések hozzáadásához, szerepkör-hozzárendelések eltávolításához vagy egyéni szerepkörök törléséhez.
- Csoportok Rendszergazda istrator vagy felhasználói Rendszergazda istrator szerepkör csoportok létrehozásához.
Feljegyzés
A cikkben használt lekérdezések csak olyan szerepkör-hozzárendeléseket vagy egyéni szerepköröket ad vissza, amelyeknek olvasási engedélye van. Ha például csak az erőforráscsoport hatókörében lévő szerepkör-hozzárendelések olvasására van engedélye, az előfizetés hatókörében lévő szerepkör-hozzárendelések nem lesznek visszaadva.
Tünet – Nem hozható létre több szerepkör-hozzárendelés
Amikor megpróbál szerepkört hozzárendelni, a következő hibaüzenet jelenik meg:
No more role assignments can be created (code: RoleAssignmentLimitExceeded)
Ok
előfizetésenként legfeljebb 4000 szerepkör-hozzárendelést Azure-támogatás. Ez a korlát magában foglalja az előfizetés, az erőforráscsoport és az erőforrás hatókörében hozzárendelt szerepköröket, de nem foglalja magában a felügyeleti csoport hatókörében hozzárendelt szerepköröket. Próbálja meg csökkenteni a szerepkör-hozzárendelések számát az előfizetésben.
Feljegyzés
Az előfizetésenkénti 4000 szerepkör-hozzárendelési korlát rögzített, és nem növelhető.
A szerepkör-hozzárendelések számát az Azure Portal Hozzáférés-vezérlés (IAM) oldalán található diagramon tekintheti meg. A következő Azure PowerShell-parancsokat is használhatja:
$scope = "/subscriptions/<subscriptionId>"
$ras = Get-AzRoleAssignment -Scope $scope | Where-Object {$_.scope.StartsWith($scope)}
$ras.Count
1. megoldás – Az egyszerű szerepkör-hozzárendelések lecserélése csoportalapú szerepkör-hozzárendelésekre
Az előfizetésben lévő szerepkör-hozzárendelések számának csökkentése érdekében adjon hozzá tagokat (felhasználókat, szolgáltatásneveket és felügyelt identitásokat) a csoportokhoz, és rendeljen szerepköröket a csoportokhoz. Kövesse az alábbi lépéseket annak azonosításához, hogy a tagok több szerepkör-hozzárendelése hol helyettesíthető egy csoport egyetlen szerepkör-hozzárendelésével.
Jelentkezzen be az Azure Portalra , és nyissa meg az Azure Resource Graph Explorert.
Válassza a Hatókör lehetőséget, és állítsa be a lekérdezés hatókörét.
A hatókört általában címtárra állítja a teljes bérlő lekérdezéséhez, de a hatókört bizonyos előfizetésekre szűkítheti.
Válassza az Engedélyezési hatókör beállítása lehetőséget, és állítsa az engedélyezési hatókört at, above és below értékre az összes erőforrás lekérdezéséhez a megadott hatókörben.
Futtassa a következő lekérdezést a szerepkör-hozzárendelések ugyanazzal a szerepkörrel és azonos hatókörrel, de különböző tagokhoz való lekéréséhez.
Ez a lekérdezés ellenőrzi az aktív szerepkör-hozzárendeléseket, és nem veszi figyelembe a jogosult szerepkör-hozzárendeléseket a Microsoft Entra Privileged Identity Managementben. A jogosult szerepkör-hozzárendelések listájához használhatja a Microsoft Entra felügyeleti központot, a PowerShellt vagy a REST API-t. További információ: Get-AzRoleEligibilityScheduleInstance vagy Szerepkör-jogosultság ütemezésének példányai – Hatókörök listája.
Ha szerepkör-hozzárendelési feltételeket használ, vagy feltételekkel delegálja a szerepkör-hozzárendelés-kezelést, használja a Feltételek lekérdezést. Ellenkező esetben használja az Alapértelmezett lekérdezést.
authorizationresources | where type =~ "microsoft.authorization/roleassignments" | where id startswith "/subscriptions" | extend RoleId = tolower(tostring(properties.roleDefinitionId)) | join kind = leftouter ( authorizationresources | where type =~ "microsoft.authorization/roledefinitions" | extend RoleDefinitionName = tostring(properties.roleName) | extend RoleId = tolower(id) | project RoleDefinitionName, RoleId ) on $left.RoleId == $right.RoleId | extend principalId = tostring(properties.principalId) | extend principal_to_ra = pack(principalId, id) | summarize count_ = count(), AllPrincipals = make_set(principal_to_ra) by RoleDefinitionId = RoleId, Scope = tolower(properties.scope), RoleDefinitionName | where count_ > 1 | order by count_ descAz alábbiakban egy példa látható az eredményekre. A count_ oszlop az azonos szerepkörhöz és hatókörhöz rendelt tagok száma. A darabszám csökkenő sorrendben van rendezve.
Azonosítsa azt a sort, amelyben a több szerepkör-hozzárendelést egy csoporthoz tartozó szerepkör-hozzárendelésre szeretné cserélni.
A sorban válassza a Részletek megtekintése lehetőséget a Részletek panel megnyitásához.
Oszlop Leírás RoleDefinitionId Az aktuálisan hozzárendelt szerepkör azonosítója . Hatókör A szerepkör-hozzárendelés hatóköre, amely előfizetés, erőforráscsoport vagy erőforrás lesz. RoleDefinitionName Az aktuálisan hozzárendelt szerepkör neve . count_ Az azonos szerepkörrel és hatókörrel rendelkező tagok száma. AllPrincipals Az azonos szerepkörrel és hatókörrel rendelkező egyszerű azonosítók listája. A szerepkör és a hatókör lekéréséhez használja a RoleDefinitionId, a RoleDefinitionName és a Scope parancsot.
Az AllPrincipals használatával lekérheti az azonos szerepkör-hozzárendeléssel rendelkező egyszerű azonosítók listáját.
Hozzon létre egy Microsoft Entra-csoportot. További információ: Microsoft Entra-csoportok és csoporttagság kezelése.
Adja hozzá az AllPrincipals tagokat a csoporthoz.
A tagok tömeges hozzáadásáról további információt a Csoporttagok tömeges hozzáadása a Microsoft Entra-azonosítóban című témakörben talál.
Rendelje hozzá a szerepkört az azonos hatókörben létrehozott csoporthoz. További információ: Azure-szerepkörök hozzárendelése a Azure Portal.
Most már megtalálhatja és eltávolíthatja az egyszerű szerepkör-hozzárendeléseket.
Kérje le az egyszerű neveket az egyszerű azonosítókból.
- Az Azure Portal használatához lásd : Felhasználói profiladatok és beállítások hozzáadása vagy frissítése.
- A PowerShell használatához lásd: Get-MgUser.
- Az Azure,CLI használatához tekintse meg az az ad user show-t.
Nyissa meg a Hozzáférés-vezérlés (IAM) lapot a szerepkör-hozzárendelésekkel azonos hatókörben.
Válassza a Szerepkiosztások lapot.
A szerepkör-hozzárendelések szűréséhez válassza ki a szerepkörszűrőt , majd válassza ki a szerepkör nevét.
Keresse meg az egyszerű szerepkör-hozzárendeléseket.
A csoportalapú szerepkör-hozzárendelést is látnia kell.
Válassza ki és távolítsa el az egyszerű szerepkör-hozzárendeléseket. További információ: Azure-beli szerepkör-hozzárendelés eltávolítása.
2. megoldás – Redundáns szerepkör-hozzárendelések eltávolítása
A szerepkör-hozzárendelések számának csökkentéséhez távolítsa el a redundáns szerepkör-hozzárendeléseket. Kövesse ezeket a lépéseket annak azonosításához, hogy hol távolíthatók el redundáns szerepkör-hozzárendelések egy alacsonyabb hatókörben, mivel egy magasabb hatókörű szerepkör-hozzárendelés már hozzáférést biztosít.
Jelentkezzen be az Azure Portalra , és nyissa meg az Azure Resource Graph Explorert.
Válassza a Hatókör lehetőséget, és állítsa be a lekérdezés hatókörét.
A hatókört általában címtárra állítja a teljes bérlő lekérdezéséhez, de a hatókört bizonyos előfizetésekre szűkítheti.
Válassza az Engedélyezési hatókör beállítása lehetőséget, és állítsa az engedélyezési hatókört at, above és below értékre az összes erőforrás lekérdezéséhez a megadott hatókörben.
Futtassa a következő lekérdezést a szerepkör-hozzárendelések lekéréséhez ugyanazzal a szerepkörrel és ugyanazzal a taggal, de különböző hatókörökben.
Ez a lekérdezés ellenőrzi az aktív szerepkör-hozzárendeléseket, és nem veszi figyelembe a jogosult szerepkör-hozzárendeléseket a Microsoft Entra Privileged Identity Managementben. A jogosult szerepkör-hozzárendelések listájához használhatja a Microsoft Entra felügyeleti központot, a PowerShellt vagy a REST API-t. További információ: Get-AzRoleEligibilityScheduleInstance vagy Szerepkör-jogosultság ütemezésének példányai – Hatókörök listája.
Ha szerepkör-hozzárendelési feltételeket használ, vagy feltételekkel delegálja a szerepkör-hozzárendelés-kezelést, használja a Feltételek lekérdezést. Ellenkező esetben használja az Alapértelmezett lekérdezést.
authorizationresources | where type =~ "microsoft.authorization/roleassignments" | where id startswith "/subscriptions" | extend RoleDefinitionId = tolower(tostring(properties.roleDefinitionId)) | extend PrincipalId = tolower(properties.principalId) | extend RoleDefinitionId_PrincipalId = strcat(RoleDefinitionId, "_", PrincipalId) | join kind = leftouter ( authorizationresources | where type =~ "microsoft.authorization/roledefinitions" | extend RoleDefinitionName = tostring(properties.roleName) | extend rdId = tolower(id) | project RoleDefinitionName, rdId ) on $left.RoleDefinitionId == $right.rdId | summarize count_ = count(), Scopes = make_set(tolower(properties.scope)) by RoleDefinitionId_PrincipalId,RoleDefinitionName | project RoleDefinitionId = split(RoleDefinitionId_PrincipalId, "_", 0)[0], RoleDefinitionName, PrincipalId = split(RoleDefinitionId_PrincipalId, "_", 1)[0], count_, Scopes | where count_ > 1 | order by count_ descAz alábbiakban egy példa látható az eredményekre. A count_ oszlop az azonos szerepkörrel és ugyanazzal a taggal rendelkező szerepkör-hozzárendelések különböző hatóköreinek száma. A darabszám csökkenő sorrendben van rendezve.
Oszlop Leírás RoleDefinitionId Az aktuálisan hozzárendelt szerepkör azonosítója . RoleDefinitionName Az aktuálisan hozzárendelt szerepkör neve . PrincipalId A szerepkörhöz rendelt tag azonosítója. count_ Az azonos szerepkörrel és taggal rendelkező szerepkör-hozzárendelések különböző hatóköreinek száma. Hatókörök Az azonos szerepkörrel és ugyanazzal a taggal rendelkező szerepkör-hozzárendelések hatókörei. Azonosítsa azt a sort, amelyben el szeretné távolítani a redundáns szerepkör-hozzárendeléseket.
A Részletek panel megnyitásához válassza a Részletek megtekintése lehetőséget egy sorban.
A szerepkör és az egyszerű azonosító lekéréséhez használja a RoleDefinitionId, a RoleDefinitionName és a PrincipalId azonosítót.
A Hatókörök használatával lekérheti ugyanahhoz a szerepkörhöz és ugyanazhoz a szerepkörhöz tartozó hatókörök listáját.
Határozza meg, hogy melyik hatókörre van szükség a szerepkör-hozzárendeléshez. A többi szerepkör-hozzárendelés eltávolítható.
A minimális jogosultsággal kapcsolatos ajánlott eljárásokat kell követnie annak meghatározásakor, hogy mely szerepkör-hozzárendelések távolíthatók el. A magasabb hatókörű szerepkör-hozzárendelés több hozzáférést biztosíthat az egyszerű felhasználóhoz, mint amennyi szükséges. Ebben az esetben el kell távolítania a szerepkör-hozzárendelést a magasabb hatókörrel. Előfordulhat például, hogy egy felhasználónak nincs szüksége virtuálisgép-közreműködői szerepkör-hozzárendelésre az előfizetés hatókörében, ha egy alacsonyabb erőforráscsoport-hatókörben lévő virtuálisgép-közreműködői szerepkör-hozzárendelés biztosítja a szükséges hozzáférést.
Kérje le az egyszerű nevet az egyszerű azonosítóból.
- Az Azure Portal használatához lásd : Felhasználói profiladatok és beállítások hozzáadása vagy frissítése.
- A PowerShell használatához lásd: Get-MgUser.
- Az Azure,CLI használatához tekintse meg az az ad user show-t.
Nyissa meg a Hozzáférés-vezérlés (IAM) lapot az eltávolítani kívánt szerepkör-hozzárendelés hatókörében.
Válassza a Szerepkiosztások lapot.
A szerepkör-hozzárendelések szűréséhez válassza ki a szerepkörszűrőt , majd válassza ki a szerepkör nevét.
Keresse meg az igazgatót.
Jelölje ki és távolítsa el a szerepkör-hozzárendelést. További információ: Azure-beli szerepkör-hozzárendelés eltávolítása.
3. megoldás – Több beépített szerepkör-hozzárendelés cseréje egyéni szerepkör-hozzárendelésre
Ha csökkenteni szeretné a szerepkör-hozzárendelések számát az előfizetésben, cserélje le több beépített szerepkör-hozzárendelést egyetlen egyéni szerepkör-hozzárendelésre. Kövesse ezeket a lépéseket annak azonosításához, hogy hol lehetséges több beépített szerepkör-hozzárendelés cseréje.
Jelentkezzen be az Azure Portalra , és nyissa meg az Azure Resource Graph Explorert.
Válassza a Hatókör lehetőséget, és állítsa be a lekérdezés hatókörét.
A hatókört általában címtárra állítja a teljes bérlő lekérdezéséhez, de a hatókört bizonyos előfizetésekre szűkítheti.
Futtassa a következő lekérdezést, ha ugyanazzal a névvel és hatókörrel, de különböző beépített szerepkörökkel szeretné lekérni a szerepkör-hozzárendeléseket.
Ez a lekérdezés ellenőrzi az aktív szerepkör-hozzárendeléseket, és nem veszi figyelembe a jogosult szerepkör-hozzárendeléseket a Microsoft Entra Privileged Identity Managementben. A jogosult szerepkör-hozzárendelések listájához használhatja a Microsoft Entra felügyeleti központot, a PowerShellt vagy a REST API-t. További információ: Get-AzRoleEligibilityScheduleInstance vagy Szerepkör-jogosultság ütemezésének példányai – Hatókörök listája.
Ha szerepkör-hozzárendelési feltételeket használ, vagy feltételekkel delegálja a szerepkör-hozzárendelés-kezelést, használja a Feltételek lekérdezést. Ellenkező esetben használja az Alapértelmezett lekérdezést.
AuthorizationResources | where type =~ "microsoft.authorization/roleassignments" | where id startswith "/subscriptions" | extend PrincipalId = tostring(properties.principalId) | extend Scope = tolower(properties.scope) | extend RoleDefinitionId = tolower(tostring(properties.roleDefinitionId)) | join kind = leftouter ( AuthorizationResources | where type =~ "microsoft.authorization/roledefinitions" | extend RoleName = tostring(properties.roleName) | extend RoleId = tolower(id) | extend RoleType = tostring(properties.type) | where RoleType == "BuiltInRole" | extend RoleId_RoleName = pack(RoleId, RoleName) ) on $left.RoleDefinitionId == $right.RoleId | summarize count_ = count(), AllRD = make_set(RoleId_RoleName) by PrincipalId, Scope | where count_ > 1 | order by count_ descAz alábbiakban egy példa látható az eredményekre. A count_ oszlop a különböző beépített szerepkör-hozzárendelések száma azonos egyszerű és azonos hatókörrel. A darabszám csökkenő sorrendben van rendezve.
Oszlop Leírás PrincipalId A beépített szerepkörökhöz hozzárendelt tag azonosítója. Hatókör A beépített szerepkör-hozzárendelések hatóköre. count_ Az azonos taggal és hatókörrel rendelkező beépített szerepkör-hozzárendelések száma. AllRD A beépített szerepkörök azonosítója és neve. A Részletek panel megnyitásához válassza a Részletek megtekintése lehetőséget egy sorban.
Az AllRD használatával megtekintheti azokat a beépített szerepköröket, amelyek egyéni szerepkörökbe kombinálhatók.
A beépített szerepkörök műveleteinek és adatműveleteinek listázása. További információ: Azure-szerepkördefiníciók vagy azure-beli beépített szerepkörök listázása
Hozzon létre egy egyéni szerepkört, amely beépített szerepkörként tartalmazza az összes műveletet és adatműveletet. Az egyéni szerepkör létrehozásának megkönnyítése érdekében először klónozhatja az egyik beépített szerepkört. További információ: Egyéni Azure-szerepkörök létrehozása vagy frissítése az Azure Portal használatával.
Kérje le az egyszerű nevet az egyszerű azonosítóból.
- Az Azure Portal használatához lásd : Felhasználói profiladatok és beállítások hozzáadása vagy frissítése.
- A PowerShell használatához lásd: Get-MgUser.
- Az Azure,CLI használatához tekintse meg az az ad user show-t.
Nyissa meg a Hozzáférés-vezérlés (IAM) lapot a szerepkör-hozzárendelésekkel azonos hatókörben.
Rendelje hozzá az új egyéni szerepkört az egyszerűhöz. További információ: Azure-szerepkörök hozzárendelése a Azure Portal.
Most már eltávolíthatja a beépített szerepkör-hozzárendeléseket.
Az azonos hatókörű Hozzáférés-vezérlés (IAM) lapon válassza a Szerepkör-hozzárendelések lapot.
Keresse meg az egyszerű és a beépített szerepkör-hozzárendeléseket.
Távolítsa el a beépített szerepkör-hozzárendeléseket az egyszerűtől. További információ: Azure-beli szerepkör-hozzárendelés eltávolítása.
4. megoldás – Szerepkör-hozzárendelések támogathatóvá tétele
Ha csökkenteni szeretné az előfizetésben lévő szerepkör-hozzárendelések számát, és a P2 Microsoft Entra-azonosítóval rendelkezik, a szerepkör-hozzárendeléseket a Végleges hozzárendelés helyett a Microsoft Entra Privileged Identity Managementben teheti jogosulttá.
5. megoldás – További előfizetés hozzáadása
Adjon hozzá egy további előfizetést.
Tünet – Nincs több szerepkör-hozzárendelés a felügyeleti csoport hatókörében
Nem tud szerepkört hozzárendelni a felügyeleti csoport hatóköréhez.
Ok
felügyeleti csoportonként legfeljebb 500 szerepkör-hozzárendelést Azure-támogatás. Ez a korlát nem ugyanaz, mint az előfizetésenkénti szerepkör-hozzárendelési korlát.
Feljegyzés
A felügyeleti csoportonkénti 500 szerepkör-hozzárendelési korlát rögzített, és nem növelhető.
Megoldás
Próbálja meg csökkenteni a szerepkör-hozzárendelések számát a felügyeleti csoportban. A lehetséges lehetőségeket a Tünet – Nem lehet több szerepkör-hozzárendelést létrehozni. Ahhoz, hogy a lekérdezések lekérjenek erőforrásokat a felügyeleti csoport szintjén, a következő módosításokat kell elvégeznie a lekérdezéseken:
Replace
| where id startswith "/subscriptions"
With
| where id startswith "/providers/Microsoft.Management/managementGroups"
Hibajelenség – Nem hozható létre több szerepkördefiníció
Amikor új egyéni szerepkört próbál létrehozni, a következő üzenetet kapja:
Role definition limit exceeded. No more role definitions can be created (code: RoleDefinitionLimitExceeded)
Ok
egy címtárban legfeljebb 5000 egyéni szerepkört Azure-támogatás. (A 21Vianet által üzemeltetett Microsoft Azure esetében a korlát 2000 egyéni szerepkör.)
Megoldás
Kövesse az alábbi lépéseket a nem használt Egyéni Azure-szerepkörök megkereséséhez és törléséhez.
Jelentkezzen be az Azure Portalra , és nyissa meg az Azure Resource Graph Explorert.
Válassza a Hatókör lehetőséget, és állítsa a hatókört címtárra a lekérdezéshez.
Futtassa a következő lekérdezést az összes olyan egyéni szerepkör lekéréséhez, amely nem rendelkezik szerepkör-hozzárendeléssel:
Ez a lekérdezés ellenőrzi az aktív szerepkör-hozzárendeléseket, és nem veszi figyelembe a jogosult egyéni szerepkör-hozzárendeléseket a Microsoft Entra Privileged Identity Managementben. A jogosult egyéni szerepkör-hozzárendelések listájához használhatja a Microsoft Entra felügyeleti központot, a PowerShellt vagy a REST API-t. További információ: Get-AzRoleEligibilityScheduleInstance vagy Szerepkör-jogosultság ütemezésének példányai – Hatókörök listája.
AuthorizationResources | where type =~ "microsoft.authorization/roledefinitions" | where tolower(properties.type) == "customrole" | extend rdId = tolower(id) | extend Scope = tolower(properties.assignableScopes) | join kind = leftouter ( AuthorizationResources | where type =~ "microsoft.authorization/roleassignments" | extend RoleId = tolower(tostring(properties.roleDefinitionId)) | summarize RoleAssignmentCount = count() by RoleId ) on $left.rdId == $right.RoleId | where isempty(RoleAssignmentCount) | project RoleDefinitionId = rdId, RoleDefinitionName = tostring(properties.roleName), ScopeAz alábbiakban egy példa látható az eredményekre:
Oszlop Leírás RoleDefinitionId A nem használt egyéni szerepkör azonosítója. RoleDefinitionName A nem használt egyéni szerepkör neve. Hatókör Hozzárendelhető hatókörök a nem használt egyéni szerepkörhöz. Nyissa meg a hatókört (általában előfizetés), majd nyissa meg a Hozzáférés-vezérlés (IAM) lapot.
A beépített és egyéni szerepkörök listájának megtekintéséhez kattintson a Szerepkörök lapra.
A Típus szűrőben válassza a CustomRole lehetőséget az egyéni szerepkörök megtekintéséhez.
Jelölje ki a törölni kívánt egyéni szerepkör három pontját (...), majd válassza a Törlés lehetőséget.
