Azure-roltoewijzingen weergeven met behulp van Azure PowerShell
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is het autorisatiesysteem om de toegang tot Azure-resources te beheren. Als u wilt bepalen tot welke resources gebruikers, groepen, service-principals of beheerde identiteiten toegang hebben, vermeldt u hun roltoewijzingen. In dit artikel wordt beschreven hoe u roltoewijzingen weergeeft met behulp van Azure PowerShell.
Notitie
U wordt aangeraden de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Notitie
Als uw organisatie beheerfuncties heeft uitbesteed aan een serviceprovider die gebruikmaakt van Azure Lighthouse, worden roltoewijzingen die zijn geautoriseerd door die serviceprovider, hier niet weergegeven.
Vereisten
Roltoewijzingen weergeven voor het huidige abonnement
De eenvoudigste manier om een lijst op te halen met alle roltoewijzingen in het huidige abonnement (inclusief overgenomen roltoewijzingen van hoofd- en beheergroepen) is get-AzRoleAssignment te gebruiken zonder parameters.
Get-AzRoleAssignment
PS C:\> Get-AzRoleAssignment
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName : Alain
SignInName : alain@example.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
ObjectId : 44444444-4444-4444-4444-444444444444
ObjectType : User
CanDelegate : False
RoleAssignmentId : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Marketing
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : 22222222-2222-2222-2222-222222222222
ObjectType : Group
CanDelegate : False
...
Roltoewijzingen weergeven voor een abonnement
Gebruik Get-AzRoleAssignment om alle roltoewijzingen in een abonnementsbereik weer te geven. Als u de abonnements-id wilt ophalen, kunt u deze vinden op de blade Abonnementen in de Azure Portal of u kunt Get-AzSubscription gebruiken.
Get-AzRoleAssignment -Scope /subscriptions/<subscription_id>
PS C:\> Get-AzRoleAssignment -Scope /subscriptions/00000000-0000-0000-0000-000000000000
Roltoewijzingen voor een gebruiker weergeven
Als u alle rollen wilt weergeven die zijn toegewezen aan een opgegeven gebruiker, gebruikt u Get-AzRoleAssignment.
Get-AzRoleAssignment -SignInName <email_or_userprincipalname>
PS C:\> Get-AzRoleAssignment -SignInName isabella@example.com | FL DisplayName, RoleDefinitionName, Scope
DisplayName : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
Als u alle rollen wilt weergeven die zijn toegewezen aan een opgegeven gebruiker en de rollen die zijn toegewezen aan de groepen waartoe de gebruiker behoort, gebruikt u Get-AzRoleAssignment.
Get-AzRoleAssignment -SignInName <email_or_userprincipalname> -ExpandPrincipalGroups
Get-AzRoleAssignment -SignInName isabella@example.com -ExpandPrincipalGroups | FL DisplayName, RoleDefinitionName, Scope
Roltoewijzingen voor een resourcegroep opvragen
Als u alle roltoewijzingen in het bereik van een resourcegroep wilt weergeven, gebruikt u Get-AzRoleAssignment.
Get-AzRoleAssignment -ResourceGroupName <resource_group_name>
PS C:\> Get-AzRoleAssignment -ResourceGroupName pharma-sales | FL DisplayName, RoleDefinitionName, Scope
DisplayName : Alain Charon
RoleDefinitionName : Backup Operator
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Isabella Simonsen
RoleDefinitionName : BizTalk Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
DisplayName : Alain Charon
RoleDefinitionName : Virtual Machine Contributor
Scope : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
Roltoewijzingen voor een beheergroep weergeven
Gebruik Get-AzRoleAssignment om alle roltoewijzingen in het bereik van een beheergroep weer te geven. Als u de beheergroep-id wilt ophalen, kunt u deze vinden op de blade Beheergroepen in de Azure Portal of u kunt Get-AzManagementGroup gebruiken.
Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/<group_id>
PS C:\> Get-AzRoleAssignment -Scope /providers/Microsoft.Management/managementGroups/marketing-group
Roltoewijzingen voor een resource weergeven
Als u roltoewijzingen voor een specifieke resource wilt weergeven, gebruikt u Get-AzRoleAssignment en de -Scope parameter . Het bereik verschilt, afhankelijk van de resource. Als u het bereik wilt ophalen, kunt u uitvoeren Get-AzRoleAssignment zonder parameters om alle roltoewijzingen weer te geven en vervolgens het bereik te vinden dat u wilt weergeven.
Get-AzRoleAssignment -Scope "/subscriptions/<subscription_id>/resourcegroups/<resource_group_name>/providers/<provider_name>/<resource_type>/<resource>
In dit volgende voorbeeld ziet u hoe u de roltoewijzingen voor een opslagaccount weergeeft. Houd er rekening mee dat met deze opdracht ook roltoewijzingen worden vermeld in hogere bereiken, zoals resourcegroepen en abonnementen, die van toepassing zijn op dit opslagaccount.
PS C:\> Get-AzRoleAssignment -Scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"
Als u alleen roltoewijzingen wilt weergeven die rechtstreeks aan een resource zijn toegewezen, kunt u de opdracht Where-Object gebruiken om de lijst te filteren.
PS C:\> Get-AzRoleAssignment | Where-Object {$_.Scope -eq "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/storage-test-rg/providers/Microsoft.Storage/storageAccounts/storagetest0122"}
Roltoewijzingen weergeven voor klassieke servicebeheerders en co-beheerders
Gebruik Get-AzRoleAssignment om roltoewijzingen voor de klassieke abonnementsbeheerder en medebeheerders weer te geven.
Get-AzRoleAssignment -IncludeClassicAdministrators
Roltoewijzingen voor een beheerde identiteit weergeven
Haal de object-id op van de door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit.
Als u de object-id van een door de gebruiker toegewezen beheerde identiteit wilt ophalen, kunt u Get-AzADServicePrincipal gebruiken.
Get-AzADServicePrincipal -DisplayNameBeginsWith "<name> or <vmname>"Gebruik Get-AzRoleAssignment om de roltoewijzingen weer te geven.
Get-AzRoleAssignment -ObjectId <objectid>