Отображение списка всех назначений запретов

Запрет назначений, как и назначение ролей, привязывает набор запрещающих действий к пользователю, группе или субъекту-службе в определенной области с целью отказа в доступе. Запрещающие назначения блокируют выполнение определенных действий ресурсов Azure пользователями, даже если назначение роли предоставляет им доступ.

В этой статье описывается, как вывести список запрещенных назначений.

Внимание

Вы не можете напрямую создавать собственные назначения запретов. Запреты создаются и управляются Azure.

Как создаются назначения запретов

Назначения запретов создаются и управляются платформой Azure для защиты ресурсов. Вы не можете напрямую создавать собственные назначения запретов. Однако при создании стека развертывания можно указать параметры запрета, которое создает назначение запрета, принадлежащее ресурсам стека развертывания. Стеки развертывания в настоящее время находятся в предварительной версии. Дополнительные сведения см. в разделе "Защита управляемых ресурсов для удаления".

Сравнительное описание назначений ролей и назначений запретов

Назначения запретов похожи на назначения ролей, но имеют некоторые отличия.

Возможность	Назначение ролей	Назначение запрета
Предоставление доступа	✅
Запрет доступа		✅
Можно создать напрямую	✅
Применяется к области	✅	✅
Исключение субъектов		✅
Запрет наследования для дочерних областей		✅
Применение к назначению классического администратора подписки		✅

Свойства запретов назначений

Запрет назначений имеет следующие свойства:

Свойство	Обязательное поле	Type	Описание
DenyAssignmentName	Да	Строка	Отображаемое имя запрета назначения. Имена должны быть уникальными в пределах области.
Description	Нет	Строка	Описание запрета назначения.
Permissions.Actions	Минимум один Actions или один DataActions.	String[]	Массив строк, указывающих действия уровня управления, к которым запрещается доступ к назначению.
Permissions.NotActions	No	String[]	Массив строк, указывающих действие уровня управления, которое следует исключить из назначения запрета.
Permissions.DataActions	Минимум один Actions или один DataActions.	String[]	Массив строк, указывающих действия плоскости данных, к которым запрещается доступ.
Permissions.NotDataActions	No	String[]	Массив строк, указывающих действия плоскости данных, которые следует исключить из назначения запрета.
Scope	Нет	Строка	Строка, определяющая область применения запрета назначения.
DoNotApplyToChildScopes	No	Логический	Указывает, применяется ли запрет назначения к дочерним областям. По умолчанию используется значение false.
Principals[i].Id	Да	String[]	Массив идентификаторов основного объекта Microsoft Entra (пользователя, группы, субъекта-службы или управляемого удостоверения), к которому применяется назначение запрета. Чтобы охватить все субъекты, оставьте GUID пустым (00000000-0000-0000-0000-000000000000).
Principals[i].Type	No	String[]	Массив типов объектов, представленных значениями Principals[i].Id. Укажите значение SystemDefined, чтобы представить все субъекты.
ExcludePrincipals[i].Id	No	String[]	Массив идентификаторов основного объекта Microsoft Entra (пользователя, группы, субъекта-службы или управляемого удостоверения), к которому назначение запрета не применяется.
ExcludePrincipals[i].Type	No	String[]	Массив типов объектов, представленный ExcludePrincipals[i].Id.
IsSystemProtected	No	Логический	Указывает, был ли запрет назначения создан Azure, а значит, не может быть изменен или удален. В настоящее время все запреты назначений защищаются системой.

Субъект "Все субъекты"

Для поддержки назначений запретов добавлен определяемый системой субъект с именем Все субъекты. Этот субъект представляет всех пользователей, групп, субъектов-служб и управляемых удостоверений в каталоге Microsoft Entra. Если идентификатор субъекта имеет нулевое значение GUID (00000000-0000-0000-0000-000000000000), а тип субъекта — SystemDefined, субъект представляет все субъекты. В выходных данных Azure PowerShell субъект "Все субъекты" имеет следующий вид:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Субъект "Все субъекты" можно сочетать с ExcludePrincipals, чтобы запретить все субъекты, кроме некоторых пользователей. Субъект "Все субъекты" имеет следующие ограничения:

• Может использоваться только в Principals и не может использоваться в ExcludePrincipals.
• Для параметра Principals[i].Type нужно задать значение SystemDefined.

Отображение списка запрещенных назначений

Выполните следующие действия, чтобы получить список запрещенных назначений.

Внимание

Вы не можете напрямую создавать собственные назначения запретов. Запреты создаются и управляются Azure. Дополнительные сведения см. в разделе "Защита управляемых ресурсов для удаления".

Портал Azure

Необходимые компоненты

Чтобы получить сведения о назначении запрета, вам потребуется:

• разрешение Microsoft.Authorization/denyAssignments/read, которое включено в большинстве встроенных ролей Azure.

Вывод списка запрещенных назначений в портал Azure

Выполните описанные ниже шаги, чтобы получить список назначений запретов в области группы управления или подписки.

1. В портал Azure откройте выбранную область, например группу ресурсов или подписку.

2. Выберите Управление доступом (IAM).

3. Перейдите на вкладку "Запретить назначения" (или нажмите кнопку "Вид" на плитке "Запретить назначения".

   Если в этой области или наследуются какие-либо запретные назначения, они будут перечислены.

   

4. Чтобы отобразить дополнительные столбцы, выберите "Изменить столбцы".

   

   Столбец	Описание:
   Имя	Имя запрещающего назначения.
   Тип субъекта	Пользователь, группа, системная группа или субъект-служба.
   Запрещен	Имя субъекта безопасности, который включен в запрещающее назначение.
   Id	Уникальный идентификатор запрещающего назначения.
   Исключенные субъекты	Субъекты безопасности (если есть), для которых действуют исключения из этого запрещающего назначения.
   Не применяется к дочерним	Определяет, распространяется ли запрещающее назначение на вложенные области.
   Защищенное системой	Указывает, что запрещающее назначение управляется платформой Azure. В настоящее время всегда имеет значение "Да".
   Область применения	Группа управления, подписка, группа ресурсов или ресурс.

5. Добавьте флажок в любой из включенных элементов и нажмите кнопку "ОК ", чтобы отобразить выбранные столбцы.

Просмотр сведений о назначении запрета

Выполните следующие действия, чтобы получить дополнительные сведения о назначении запрета.

1. Откройте панель Запрещающие назначения, как описано в предыдущем разделе.

2. Выберите имя запрета назначения, чтобы открыть страницу "Пользователи ".

   

   Страница "Пользователи" содержит следующие два раздела.

   Параметр запрета	Description
   Deny assignment applies to (Запрещающее назначение применяется к)	Список субъектов безопасности, для которых действует это запрещающее назначение.
   Deny assignment excludes (Запрещающее назначение не применяется к)	Субъекты безопасности, для которых действуют исключения из этого запрещающего назначения.

   System-Defined Principal (Определяемый системой субъект) представляет всех пользователей, группы, субъекты-службы и управляемые удостоверения в каталоге AAD.

3. Чтобы просмотреть список запрещенных разрешений, выберите "Отказано в разрешениях".

   

   Тип действия	Description
   Действия	Отказано в действиях уровня управления.
   NotActions	Действия уровня управления исключены из запрещенных действий уровня управления.
   Действия с данными	Отказано в действиях плоскости данных.
   NotDataActions	Действия плоскости данных исключены из запрещенных действий плоскости данных.

   В примере на предыдущем снимке экрана действуют следующие разрешения.

   • Все действия хранилища на плоскости данных запрещены, за исключением действий вычислений.

4. Чтобы просмотреть свойства для назначения запрета, выберите "Свойства".

   

   На странице "Свойства" можно увидеть имя запрета назначения, идентификатор, описание и область. Параметр Не применяется к дочерним указывает, наследуется ли это запрещающее назначение для вложенных областей. Параметр System protected (Защищенный системой) указывает, что это назначение управляется платформой Azure. В настоящее время здесь всегда будет значение Да.

Azure PowerShell

Необходимые компоненты

Чтобы получить сведения о назначении запрета, вам потребуется:

• разрешение Microsoft.Authorization/denyAssignments/read, которое включено в большинстве встроенных ролей Azure
• PowerShell в Azure Cloud Shell или Azure PowerShell

Отображение списка всех назначений запретов

Чтобы получить список всех назначений запретов для текущей подписки, используйте Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Список назначений запретов в области группы ресурсов

Чтобы получить список всех назначений запретов в области группы ресурсов, используйте Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Список назначений запретов в области действия подписки

Чтобы получить список всех назначений запретов в области действия подписки, используйте Get-AzDenyAssignment. Чтобы получить идентификатор подписки, его можно найти на странице "Подписки" в портал Azure или с помощью Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Необходимые компоненты

Чтобы получить сведения о назначении запрета, вам потребуется:

• разрешение Microsoft.Authorization/denyAssignments/read, которое включено в большинстве встроенных ролей Azure.

Необходимо использовать следующую версию:

• 2018-07-01-preview или более поздней версии.
• 2022-04-01 является первой стабильной версией

Вывод списка определенного запрета назначения

Чтобы получить список одного назначения запрета, используйте rest API.

1. Можете начать со следующего запроса:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. Внутри URI замените {scope} областью, для которой требуется создать список запретов назначений.

   Область	Тип
   subscriptions/{subscriptionId}	Подписка
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Группа ресурсов
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Ресурс

3. Замените {deny-assignment-id} идентификатором запрета назначения, которое необходимо получить.

Вывод списка нескольких запретов назначений

Чтобы вывести список нескольких назначений запрета, используйте REST API списка .

1. Начните работу с любого из следующих запросов.

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   С использованием необязательных параметров:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. Внутри URI замените {scope} областью, для которой требуется создать список запретов назначений.

   Область	Тип
   subscriptions/{subscriptionId}	Подписка
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Группа ресурсов
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Ресурс

3. Замените {filter} условием, по которому требуется отфильтровать список запретов назначений.

   Фильтр	Description
   (без фильтра)	Вывод списка всех запретов назначений, находящихся выше и ниже заданной области.
   $filter=atScope()	Вывод списка запретов назначений только в указанной области и областях выше нее. Не включаются запреты назначений во внутренних областях.
   $filter=assignedTo('{objectId}')	Список запретов назначения для указанного пользователя или субъект-службы. Если пользователь является членом группы, которая имеет назначение запрета, это также приводит к назначению запрета. Этот фильтр является транзитивным для групп. Это означает, что если пользователь является членом группы, а эта группа является членом другой группы с запретом назначения, то также будет указано, что оно запрещает назначение. Этот фильтр принимает только идентификатор объекта для пользователя или субъекта-службы. Невозможно передать идентификатор объекта для группы.
   $filter=atScope()+and+assignedTo('{objectId}')	Список назначений запретов для указанного пользователя или субъект-службы в указанной области.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Вывод списка всех запретов назначений с указанным названием.
   $filter=principalId+eq+'{objectId}'	Список запретов назначения для указанного пользователя, группы или субъект-службы.

Вывод списка запретов назначений в корневой области (/)

1. Повысьте уровень доступа, как описано в разделе Повышение уровня доступа для управления всеми подписками Azure и группами управления.

2. Используйте следующий запрос:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Замените {filter} условием, по которому требуется отфильтровать список запретов назначений. Необходимо указать фильтр.

   Фильтр	Description
   $filter=atScope()	Вывод списка запретов назначений только в корневой области. Не включаются запреты назначений во внутренних областях.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Вывод списка всех запретов назначений с указанным названием.

4. Удалите повышенный уровень доступа.

Следующие шаги

• Стеки развертывания