Mencantumkan penetapan peran Azure menggunakan Azure PowerShell

Kontrol akses berbasis peran Azure (Azure RBAC) adalah sistem otorisasi yang Anda gunakan untuk mengelola akses ke sumber daya Azure. Untuk menentukan sumber daya yang dapat diakses oleh pengguna, grup, perwakilan layanan, atau identitas terkelola, Anda mencantumkan penetapan peran mereka. Artikel ini menjelaskan cara mencantumkan penetapan peran menggunakan Azure PowerShell.

Nota

Kami merekomendasikan agar Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Install Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Nota

Jika organisasi Anda mengalihdayakan fungsi manajemen ke penyedia layanan yang menggunakan Azure Lighthouse, penetapan peran yang dibuat oleh penyedia layanan tersebut tidak akan ditampilkan di sini. Demikian pula, pengguna di penyewa penyedia layanan tidak akan melihat penetapan peran untuk pengguna di penyewa pelanggan, terlepas dari peran yang telah mereka tetapkan.

Prasyarat

PowerShell di Azure Cloud Shell atau Azure PowerShell

Mencantumkan penetapan peran untuk langganan saat ini

Cara term mudah untuk mendapatkan daftar semua penetapan peran dalam langganan saat ini (termasuk penetapan peran yang diwariskan dari grup akar dan manajemen) adalah dengan menggunakan Get-AzRoleAssignment tanpa parameter apa pun.

Get-AzRoleAssignment

PS C:\> Get-AzRoleAssignment

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : Alain
SignInName         : alain@example.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
ObjectId           : 44444444-4444-4444-4444-444444444444
ObjectType         : User
CanDelegate        : False

RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName        : Marketing
SignInName         :
RoleDefinitionName : Contributor
RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : Group
CanDelegate        : False

...

Mencantumkan penetapan peran untuk langganan

Untuk mencantumkan semua penugasan peran pada cakupan langganan, gunakan Get-AzRoleAssignment. Untuk mendapatkan ID langganan, Anda dapat menemukannya di bilah Langganan di portal Microsoft Azure atau Anda bisa menggunakan Get-AzSubscription.

Get-AzRoleAssignment -Scope /subscriptions/<subscription_id>

PS C:\> Get-AzRoleAssignment -Scope /subscriptions/00000000-0000-0000-0000-000000000000

Mencantumkan penetapan peran untuk pengguna

Untuk mencantumkan semua peran yang ditetapkan ke pengguna tertentu, gunakan Get-AzRoleAssignment.

Get-AzRoleAssignment -SignInName <email_or_userprincipalname>

PS C:\> Get-AzRoleAssignment -SignInName isabella@example.com | FL DisplayName, RoleDefinitionName, Scope

DisplayName        : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

Untuk mencantumkan semua peran yang ditetapkan ke pengguna tertentu dan peran yang ditetapkan ke grup tempat pengguna berada, gunakan Get-AzRoleAssignment.

Get-AzRoleAssignment -SignInName <email_or_userprincipalname> -ExpandPrincipalGroups

Get-AzRoleAssignment -SignInName isabella@example.com -ExpandPrincipalGroups | FL DisplayName, RoleDefinitionName, Scope

Mencantumkan penetapan peran untuk grup sumber daya

Untuk mencantumkan semua penetapan peran di cakupan grup sumber daya, gunakan Get-AzRoleAssignment.

Get-AzRoleAssignment -ResourceGroupName <resource_group_name>

PS C:\> Get-AzRoleAssignment -ResourceGroupName pharma-sales | FL DisplayName, RoleDefinitionName, Scope

DisplayName        : Alain Charon
RoleDefinitionName : Backup Operator
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

DisplayName        : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

DisplayName        : Alain Charon
RoleDefinitionName : Virtual Machine Contributor
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales

Mencantumkan penetapan peran untuk grup manajemen

Untuk mencantumkan semua penetapan peran di cakupan grup manajemen, gunakan Get-AzRoleAssignment. Untuk mendapatkan ID grup manajemen, Anda dapat menemukannya di bilah Grup manajemen di portal Microsoft Azure atau Anda dapat menggunakan Get-AzManagementGroup.

Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/<group_id>

PS C:\> Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/marketing-group

Mencantumkan penetapan peran untuk sumber daya

Untuk mencantumkan penetapan peran untuk sumber daya tertentu, gunakan Get-AzRoleAssignment dan -Scope parameter . Cakupannya akan berbeda tergantung pada sumber dayanya. Untuk mendapatkan cakupan, Anda dapat menjalankan Get-AzRoleAssignment tanpa parameter apa pun untuk mencantumkan semua penetapan peran lalu menemukan cakupan yang ingin Anda daftarkan.

Get-AzRoleAssignment -Scope "/subscriptions/<subscription_id>/resourcegroups/<resource_group_name>/providers/<provider_name>/<resource_type>/<resource>

Contoh berikut ini memperlihatkan cara mencantumkan penetapan peran untuk akun penyimpanan. Perhatikan bahwa perintah ini juga mencantumkan penetapan peran pada cakupan yang lebih tinggi, seperti grup sumber daya dan langganan, yang berlaku untuk akun penyimpanan ini.

PS C:\> Get-AzRoleAssignment -Scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"

Jika Anda hanya ingin mencantumkan penetapan peran yang ditetapkan langsung pada sumber daya, Anda bisa menggunakan perintah Where-Object untuk memfilter daftar.

PS C:\> Get-AzRoleAssignment | Where-Object {$_.Scope -eq "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"}

Mencantumkan penetapan peran untuk administrator layanan klasik dan rekan administrator

Untuk mencantumkan penetapan peran untuk administrator langganan klasik dan rekan administrator, gunakan Get-AzRoleAssignment.

Get-AzRoleAssignment -IncludeClassicAdministrators

Mencantumkan penetapan peran untuk identitas terkelola

Dapatkan ID objek dari identitas terkelola yang ditetapkan oleh sistem atau pengguna.

Untuk mendapatkan ID objek identitas terkelola yang ditetapkan pengguna, Anda dapat menggunakan Get-AzADServicePrincipal.
```
Get-AzADServicePrincipal -DisplayNameBeginsWith "<name> or <vmname>"
```
Untuk mencantumkan penetapan peran, gunakan Get-AzRoleAssignment.
```
Get-AzRoleAssignment -ObjectId <objectid>
```

Langkah selanjutnya

Menetapkan peran Azure menggunakan Azure PowerShell

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2025-10-30