Изменить

Вывод списка назначений ролей Azure с помощью портал Azure

  • Практическое руководство

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Чтобы определить, к каким ресурсам пользователи, группы, субъекты-службы или управляемые удостоверения имеют доступ, необходимо просмотреть их назначения ролей. В этой статье описывается, как перечислить назначения ролей с помощью портал Azure.

Примечание.

Если ваша организация передала функции управления поставщику услуг, который использует службу Azure Lighthouse, то назначения ролей, предоставленные этим поставщиком услуг, здесь отображаться не будут. Аналогичным образом пользователи в клиенте поставщика услуг не будут видеть назначения ролей для пользователей в клиенте клиента независимо от назначенной им роли.

Необходимые компоненты

нет

Вывод списка назначений ролей для пользователя или группы

Чтобы быстро просмотреть роли, назначенные пользователю или группе в подписке, используйте область назначения ролей Azure.

  1. На портале Azure выберите Все службы в меню «Портал Azure».

  2. Выберите идентификатор Microsoft Entra и выберите "Пользователи " или "Группы".

  3. Выберите пользователя или группу, для которой необходимо сформировать список назначения ролей.

  4. Щелкните Назначение ролей Azure.

    Отобразится список ролей, назначенных выбранному пользователю или группе в различных областях, таких как группа управления, подписка, группа ресурсов или ресурс. В этом списке содержатся все назначения ролей, для которых у вас есть разрешение на чтение.

    Снимок экрана: назначения ролей для пользователя.

  5. Чтобы изменить подписку, щелкните список Подписки.

Список владельцев подписки

Пользователи, которым назначена роль Владелец подписки, могут управлять всеми типами данных в подписке. Чтобы создать список владельцев подписки, выполните следующие действия.

  1. На портале Azure щелкните Все службы, а затем Подписки.

  2. Щелкните подписку, для которой нужно создать список владельцев.

  3. Выберите Управление доступом (IAM).

  4. Щелкните вкладку Назначения ролей, чтобы просмотреть все назначения ролей для этой подписки.

  5. Перейдите к разделу Владельцы, чтобы просмотреть всех пользователей, которым была назначена роль владельца этой подписки.

    Снимок экрана: вкладка

Перечисление назначений привилегированных ролей администратора или управление ими

На вкладке "Назначения ролей" можно отобразить список и просмотреть количество назначений привилегированных ролей администратора в текущей область. Дополнительные сведения см. в разделе "Роли привилегированного администратора".

  1. На портале Microsoft Azure щелкните Все службы, а затем выберите область. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Щелкните конкретный ресурс.

  3. Выберите Управление доступом (IAM).

  4. Перейдите на вкладку "Назначения ролей", а затем перейдите на вкладку "Привилегированные", чтобы получить список назначений привилегированных ролей администратора на этом область.

    Снимок экрана: страница управления доступом, вкладка

  5. Сведения о количестве назначений привилегированных ролей администратора на этом область см. в разделе "Привилегированный карта".

  6. Сведения об управлении назначениями ролей привилегированного администратора см. в разделе "Привилегированный карта" и нажмите кнопку "Просмотреть назначения".

    На странице "Управление назначениями привилегированных ролей" можно добавить условие, чтобы ограничить назначение привилегированной роли или удалить назначение роли. Дополнительные сведения см. в статье "Делегирование управления назначениями ролей Azure другим пользователям с условиями".

    Снимок экрана: страница

Вывод списка назначений ролей на область

Выполните следующие действия:

  1. На портале Microsoft Azure щелкните Все службы, а затем выберите область. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Щелкните конкретный ресурс.

  3. Выберите Управление доступом (IAM).

  4. Щелкните вкладку Назначения ролей, чтобы просмотреть все назначения ролей в этой области.

    Снимок экрана: вкладка

    На вкладке "Назначение ролей" вы увидите назначения прав доступа в этой области. Обратите внимание, что одни роли привязаны к этому ресурсу, а другие унаследованы из другой области. Доступ назначается конкретному ресурсу либо наследуется от назначения в родительской области.

Вывод списка назначений ролей для пользователя на область

Чтобы сформировать список прав доступа для пользователя, группы, субъекта-службы или управляемого удостоверения, сформируйте соответствующий список назначений ролей. Выполните следующие действия, чтобы сформировать список назначения ролей для одного пользователя, группы, субъекта-службы или управляемого удостоверения в определенной области.

  1. На портале Microsoft Azure щелкните Все службы, а затем выберите область. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Щелкните конкретный ресурс.

  3. Выберите Управление доступом (IAM).

    Снимок экрана: управление доступом к группе ресурсов и вкладка

  4. На вкладке "Проверка доступа" нажмите кнопку "Проверить доступ ".

  5. В области "Проверка доступа" щелкните "Пользователь", "Группа" или "Субъект-служба" или "Управляемое удостоверение".

  6. В поле поиска введите строку для поиска в каталоге по отображаемым именам, адресам электронной почты или идентификаторам объектов.

    Снимок экрана: список выбора для проверки доступа.

  7. Выберите субъект безопасности, чтобы открыть область Назначения.

    На этой панели вы можете просмотреть права доступа выбранного субъекта безопасности в этой области и унаследованные от этой области. Назначения в дочерних областях не указаны. Отобразятся следующие назначения:

    • Назначения ролей, добавленные с помощью Azure RBAC.
    • Назначения запрета, добавленные с помощью Azure Blueprints или управляемых приложений Azure.
    • Назначения классического администратора службы или соадминистратора для классических развертываний.

    Снимок экрана: область назначений.

Вывод списка назначений ролей для управляемого удостоверения

Вы можете сформировать список назначений ролей для назначенных системой и пользователем управляемых удостоверений в определенной области с помощью колонки Управление доступом (IAM), как описано выше. В этом разделе описывается, как сформировать список назначений ролей только для управляемого удостоверения.

Управляемое удостоверение, назначаемое системой

  1. На портале Azure откройте управляемое удостоверение, назначенное системой.

  2. В меню слева выберите пункт Удостоверение.

    Снимок экрана: управляемое удостоверение, назначаемое системой.

  3. В разделе Разрешения нажмите кнопку Назначения ролей Azure.

    Отобразится список ролей, назначенных выбранному управляемому удостоверению, назначенному системой в различных областях, таких как группа управления, подписка, группа ресурсов или ресурс. В этом списке содержатся все назначения ролей, для которых у вас есть разрешение на чтение.

    Снимок экрана: назначения ролей для управляемого удостоверения, назначаемого системой.

  4. Чтобы изменить подписку, щелкните список Подписка.

    Управляемое удостоверение, назначаемое пользователем

    1. На портале Azure откройте управляемое удостоверение, назначаемое пользователем.

    2. Щелкните Назначение ролей Azure.

      Отобразится список ролей, назначенных выбранному управляемому удостоверению, назначенному пользователем в различных областях, таких как группа управления, подписка, группа ресурсов или ресурс. В этом списке содержатся все назначения ролей, для которых у вас есть разрешение на чтение.

      Снимок экрана: назначения ролей для управляемого удостоверения, назначаемого пользователем.

    3. Чтобы изменить подписку, щелкните список Подписка.

Список назначений ролей

В каждой подписке может быть до 4000 назначений ролей. Это ограничение распространяется на назначения ролей в пределах подписки, группы ресурсов и ресурсов. Для упрощения отслеживания этого ограничения на вкладку Назначения ролей добавлена диаграмма, в которой указаны количественные показатели назначения ролей для текущей подписки.

Снимок экрана: диаграмма управления доступом и количество назначений ролей.

Если количество назначений ролей близко к максимальному, при попытке добавить дополнительные назначения ролей вы увидите предупреждение на панели Добавление назначения роли. Способы уменьшения числа назначений ролей см. в разделе "Устранение неполадок с ограничениями Azure RBAC".

Снимок экрана: предупреждение об управлении доступом и добавлении назначения ролей.

Загрузка назначений ролей

Назначения ролей в области можно загрузить в форматах CSV или JSON. Это может быть полезно, если необходимо проверить список в электронной таблице или выполнить инвентаризацию при переносе подписки.

При загрузке назначений ролей следует учитывать следующие критерии:

  • Если у вас нет разрешений на чтение каталога, например роль «Читатели каталога», столбцы DisplayName, SignInName и ObjectType будут пустыми.
  • Назначения ролей, субъект безопасности которых был удален, не учитываются.
  • Доступ, предоставленный классическим администраторам, не учитывается.

Выполните следующие действия, чтобы загрузить назначения ролей в области.

  1. В портал Azure щелкните Все службы, а затем выберите область, в которой необходимо загрузить назначения ролей. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Щелкните конкретный ресурс.

  3. Выберите Управление доступом (IAM).

  4. Нажмите кнопку Загрузить назначения ролей, чтобы открыть панель «Загрузка назначений ролей».

    Снимок экрана: управление доступом и скачивание назначений ролей.

  5. С помощью флажков выберите назначения ролей, которые необходимо включить в загруженный файл.

    • Унаследовано — включение наследуемых назначений ролей для текущей области.
    • В текущей области — включение назначений ролей для текущей области.
    • Дочерние элементы — включение назначений ролей на уровнях ниже текущей области. Этот флажок снят для области группы управления.

  6. Выберите формат файла, который может содержать значения с разделителями-запятыми (CSV) или нотацию объектов JavaScript (JSON).

  7. Укажите имя файла.

  8. Щелкните Запустить, чтобы начать загрузку.

    Ниже приведены примеры выходных данных для каждого формата файла.

    Снимок экрана: скачивание назначений ролей в формате CSV.

    Снимок экрана с загруженными назначениями ролей в формате JSON.

Связанный контент