Liste atribuições de funções Azure usando o portal do Azure

O controlo de acesso baseado em funções (Azure RBAC) é o sistema de autorização que utiliza para gerir o acesso aos recursos Azure. Para determinar a que recursos os utilizadores, grupos, principais de serviços ou identidades geridas têm acesso, liste as suas atribuições de funções. Este artigo descreve como listar atribuições de funções usando o portal do Azure.

Nota

Se a sua organização tiver funções de gestão subcontratadas a um prestador de serviços que utilize o Farol Azure, as atribuições de funções autorizadas por esse prestador de serviços não serão mostradas aqui.

Listar atribuições de funções para um utilizador ou grupo

Uma forma rápida de ver as funções atribuídas a um utilizador ou grupo numa subscrição é utilizar o painel de atribuições de funções Azure .

  1. No portal do Azure, selecione Todos os serviços do menu portal do Azure.

  2. Selecione O Diretório Ativo Azure e, em seguida, selecione Utilizadores ou Grupos.

  3. Clique no utilizador ou grupo para o que pretende listar as atribuições de funções para.

  4. Clique em atribuições de funções Azure.

    Você vê uma lista de funções atribuídas ao utilizador ou grupo selecionado em vários âmbitos, tais como grupo de gestão, subscrição, grupo de recursos ou recursos. Esta lista inclui todas as atribuições de funções que tem permissão para ler.

    Screenshot de atribuições de funções para um utilizador.

  5. Para alterar a subscrição, clique na lista de Assinaturas .

Lista de proprietários de uma subscrição

Os utilizadores que tenham sido atribuídos à função Proprietário para uma subscrição podem gerir tudo na subscrição. Siga estes passos para listar os proprietários de uma subscrição.

  1. Na portal do Azure, clique em Todos os serviços e, em seguida, Em Assinaturas.

  2. Clique na subscrição de que pretende listar os proprietários de.

  3. Clique em Controlo de acesso (IAM) .

  4. Clique no separador Atribuições de funções para ver todas as atribuições de funções para esta subscrição.

  5. Percorra a secção Proprietários para ver todos os utilizadores que foram designados para a função Proprietário para esta subscrição.

    Screenshot do separador de subscrição Controlo de acesso e atribuições de funções.

Listar atribuições de funções num âmbito

  1. Na portal do Azure, clique em Todos os serviços e, em seguida, selecione o âmbito. Por exemplo, pode selecionar grupos de Gestão, Subscrições, Grupos de Recursos ou um recurso.

  2. Clique no recurso específico.

  3. Clique em Controlo de acesso (IAM).

  4. Clique no separador atribuições de funções para ver todas as atribuições de funções neste âmbito.

    Screenshot do separador Access Control e Role assignments.

    No separador Fun assignments, pode ver quem tem acesso neste âmbito. Tenha em conta que algumas funções têm o âmbito Este recurso, ao passo que outras são (Herdadas) de outro âmbito. O acesso é atribuído especificamente a este recurso ou herdado de uma atribuição ao âmbito dos pais.

Listar atribuições de funções para um utilizador num âmbito

Para listar o acesso a um utilizador, grupo, principal de serviço ou identidade gerida, enumera as suas atribuições de funções. Siga estes passos para listar as atribuições de funções para um único utilizador, grupo, principal de serviço ou identidade gerida num determinado âmbito.

  1. Na portal do Azure, clique em Todos os serviços e, em seguida, selecione o âmbito. Por exemplo, pode selecionar grupos de Gestão, Subscrições, Grupos de Recursos ou um recurso.

  2. Clique no recurso específico.

  3. Clique em Controlo de acesso (IAM).

    Screenshot do controlo de acesso do grupo de recursos e do separador de acesso.

  4. No separador de acesso 'Verificar ', clique no botão de acesso 'Verificar' .

  5. No painel de acesso do Cheque , clique em Utilizador, grupo ou principal de serviço ou identidade gerida.

  6. Na caixa de pesquisa, introduza uma cadeia para pesquisar nomes de exibição, endereços de e-mail ou identificadores de objetos.

    Screenshot da lista de seleção de acesso do Cheque.

  7. Clique no painel de segurança para abrir o painel de atribuições .

    Neste painel, pode ver o acesso ao principal de segurança selecionado neste âmbito e herdado a este âmbito. As atribuições em âmbitos infantis não estão listadas. Vê as seguintes atribuições:

    • Atribuições de funções adicionadas com Azure RBAC.
    • Nego atribuições adicionadas usando a Azure Blueprints ou aplicações geridas pela Azure.
    • Administrador de serviço clássico ou Co-Administrator atribuições para implementações clássicas.

    Screenshot de atribuição de painel.

Listar atribuições de funções para uma identidade gerida

Pode listar as atribuições de funções para identidades geridas atribuídas pelo sistema e atribuídas pelo utilizador num determinado âmbito, utilizando a lâmina de controlo de acesso (IAM), conforme descrito anteriormente. Esta secção descreve como listar atribuições de funções apenas para a identidade gerida.

Identidade gerida atribuída pelo sistema

  1. No portal do Azure, abra uma identidade gerida pelo sistema.

  2. No menu esquerdo, clique em Identidade.

    Screenshot da identidade gerida atribuída pelo sistema.

  3. Em Permissões, clique nas atribuições de funções Azure.

    Você vê uma lista de funções atribuídas à identidade gerida atribuída ao sistema selecionado em vários âmbitos tais como grupo de gestão, subscrição, grupo de recursos ou recursos. Esta lista inclui todas as atribuições de funções que tem permissão para ler.

    Screenshot de atribuições de funções para uma identidade gerida atribuída pelo sistema.

  4. Para alterar a subscrição, clique na lista de Assinaturas .

Identidade gerida atribuída pelo utilizador

  1. No portal do Azure, abra uma identidade gerida atribuída ao utilizador.

  2. Clique em atribuições de funções Azure.

    Você vê uma lista de funções atribuídas à identidade gerida atribuída pelo utilizador selecionado em vários âmbitos, tais como grupo de gestão, subscrição, grupo de recursos ou recursos. Esta lista inclui todas as atribuições de funções que tem permissão para ler.

    Screenshot de atribuições de funções para uma identidade gerida atribuída pelo utilizador.

  3. Para alterar a subscrição, clique na lista de Assinaturas .

Número de atribuições de funções

Pode ter até 4000 atribuições de funções em cada subscrição. Este limite inclui atribuições de funções nos âmbitos de subscrição, grupo de recursos e recursos. Para ajudá-lo a acompanhar este limite, o separador atribuições de funções inclui um gráfico que lista o número de atribuições de funções para a subscrição atual.

O limite de atribuições de funções para uma subscrição está atualmente a ser aumentado. Para mais informações, consulte o Troubleshoot Azure RBAC.

Screenshot do controlo de acesso e gráfico de atribuição de funções.

Se estiver a aproximar-se do número máximo e tentar adicionar mais atribuições de funções, verá um aviso no painel de atribuição de funções Add . Para formas de reduzir o número de atribuições de funções, consulte Troubleshoot Azure RBAC.

Screenshot do controlo de acesso e aviso de atribuição de função.

Descarregue atribuições de funções

Você pode baixar atribuições de funções em um âmbito em formato CSV ou JSON. Isto pode ser útil se precisar de inspecionar a lista numa folha de cálculo ou fazer um inventário ao migrar uma subscrição.

Ao descarregar atribuições de funções, deve ter em mente os seguintes critérios:

  • Se não tiver permissões para ler o diretório, como o papel de Leitores de Diretório, o Nome de Exibição, o Nome de SignInName e as colunas ObjectType ficarão em branco.
  • As atribuições de funções cujo principal de segurança foi eliminado não estão incluídas.
  • O acesso concedido aos administradores clássicos não está incluído.

Siga estes passos para descarregar as atribuições de funções num âmbito.

  1. No portal do Azure, clique em Todos os serviços e, em seguida, selecione o âmbito onde pretende descarregar as atribuições de funções. Por exemplo, pode selecionar grupos de Gestão, Subscrições, Grupos de Recursos ou um recurso.

  2. Clique no recurso específico.

  3. Clique em Controlo de acesso (IAM).

  4. Clique em baixar as atribuições de funções para abrir o painel de atribuições de funções de descarregamento.

    Screenshot das atribuições de funções de controlo de acesso e descarregamento.

  5. Utilize as caixas de verificação para selecionar as atribuições de funções que pretende incluir no ficheiro descarregado.

    • Herdado - Inclua atribuições de funções herdadas para o âmbito atual.
    • No âmbito atual - Incluir atribuições de funções para o âmbito atual.
    • Crianças - Incluir atribuições de funções em níveis inferiores ao âmbito atual. Esta caixa de verificação é desativada para o âmbito do grupo de gestão.
  6. Selecione o formato de ficheiro, que pode ser valores separados por vírgula (CSV) ou Notação de Objetos JavaScript (JSON).

  7. Especifique o nome do ficheiro.

  8. Clique em Iniciar o download.

    Os exemplos de exibição de cada formato de ficheiro.

    Screenshot de atribuições de funções de descarregamento como CSV.

    Screenshot das atribuições de funções descarregadas como no formato JSON.

Passos seguintes