Azure reddetme atamalarını listeleme

Rol atamasına benzer şekilde, reddetme ataması da erişimi reddetme amacıyla belirli bir kapsamdaki bir kullanıcı, grup veya hizmet sorumlusuna bir dizi reddetme eylemi ekler. Reddetme atamaları kullanıcıların belirli Azure kaynağı eylemlerini gerçekleştirmesini (rol ataması izin vermiş olsa bile) engeller.

Bu makalede reddetme atamalarının nasıl listelediği açıklanır.

Önemli

Doğrudan kendi reddetme atamalarınızı oluşturamazsınız. Reddetme atamaları Azure tarafından oluşturulur ve yönetilir.

Reddetme atamaları nasıl oluşturulur?

Reddetme atamaları, kaynakları korumak amacıyla Azure tarafından oluşturulur ve yönetilir. Doğrudan kendi reddetme atamalarınızı oluşturamazsınız. Ancak, dağıtım yığını oluştururken reddetme ayarlarını belirtebilirsiniz ve bu da dağıtım yığını kaynaklarına ait bir reddetme ataması oluşturur. Dağıtım yığınları şu anda önizleme aşamasındadır. Daha fazla bilgi için bkz . Yönetilen kaynakları silinmeye karşı koruma.

Rol atamalarını karşılaştırma ve atamaları reddetme

Reddetme atamaları, rol atamalarıyla benzer bir desen izler, ancak bazı farklılıklar da vardır.

Özellik	Rol ataması	Reddetme ataması
Erişim verme	✅
Erişimi engelleme		✅
Doğrudan oluşturulabilir	✅
Bir kapsamda uygulama	✅	✅
Sorumluları dışla		✅
Alt kapsamlara devralmayı engelleme		✅
Klasik abonelik yöneticisi atamalarına uygula		✅

Atama özelliklerini reddet

Reddetme ataması aşağıdaki özelliklere sahiptir:

Özellik	Zorunlu	Türü	Açıklama
DenyAssignmentName	Yes	String	Reddetme atamasının görünen adı. Adların belirli bir kapsam için benzersiz olması gerekir.
Description	Hayır	String	Reddetme atamasının açıklaması.
Permissions.Actions	En az bir Eylem veya bir DataActions	Dize[]	Reddetme atamasının erişimi engellediği denetim düzlemi eylemlerini belirten dize dizisi.
Permissions.NotActions	Hayır	Dize[]	Reddetme atamasının dışında tutulacak denetim düzlemi eylemini belirten dize dizisi.
Permissions.DataActions	En az bir Eylem veya bir DataActions	Dize[]	Reddetme atamasının erişimi engellediği veri düzlemi eylemlerini belirten dize dizisi.
Permissions.NotDataActions	Hayır	Dize[]	Reddetme atamasının dışında tutulacak veri düzlemi eylemlerini belirten dize dizisi.
Scope	Hayır	String	Reddetme atamasının uygulanacağı kapsamı belirten bir dize.
DoNotApplyToChildScopes	Hayır	Boolean	Reddetme atamasının alt kapsamlara uygulanıp uygulanmayacağını belirtir. Varsayılan değer yanlış'tır.
Principals[i].Id	Yes	Dize[]	Reddetme atamasının geçerli olduğu bir Microsoft Entra asıl nesne kimlikleri dizisi (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik). Tüm sorumluları temsil etmek için boş bir GUID 00000000-0000-0000-0000-000000000000 olarak ayarlayın.
Principals[i].Type	Hayır	Dize[]	Principals[i].Id tarafından temsil edilen nesne türleri dizisi. Tüm sorumluları temsil etmek için olarak SystemDefined ayarlayın.
ExcludePrincipals[i].Id	Hayır	Dize[]	Reddetme atamasının uygulanmadığı bir Microsoft Entra asıl nesne kimlikleri dizisi (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik).
ExcludePrincipals[i].Type	Hayır	Dize[]	ExcludePrincipals[i].Id tarafından temsil edilen nesne türleri dizisi.
IsSystemProtected	Hayır	Boolean	Bu reddetme atamanın Azure tarafından oluşturulup oluşturulmadığını ve düzenlenemeyeceğini veya silinemeyeceğini belirtir. Şu anda tüm reddetme atamaları sistem korumalıdır.

Tüm Sorumlular sorumlusu

Reddetme atamalarını desteklemek için Tüm Sorumlular adlı sistem tanımlı bir sorumlu kullanıma sunulmuştur. Bu sorumlu, bir Microsoft Entra dizinindeki tüm kullanıcıları, grupları, hizmet sorumlularını ve yönetilen kimlikleri temsil eder. Asıl kimlik sıfır GUID 00000000-0000-0000-0000-000000000000 ise ve asıl tür ise SystemDefined, sorumlu tüm sorumluları temsil eder. Azure PowerShell çıkışında Tüm Sorumlular aşağıdaki gibi görünür:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Bazı kullanıcılar dışındaki tüm sorumluları reddetmek için tüm Sorumlular ile ExcludePrincipals birleştirilebilir. Tüm Sorumlular aşağıdaki kısıtlamalara sahiptir:

• Yalnızca içinde Principals kullanılabilir ve içinde ExcludePrincipalskullanılamaz.
• Principals[i].Type olarak ayarlanmalıdır SystemDefined.

Ret atamalarını listeleme

Reddetme atamalarını listelemek için bu adımları izleyin.

Önemli

Doğrudan kendi reddetme atamalarınızı oluşturamazsınız. Reddetme atamaları Azure tarafından oluşturulur ve yönetilir. Daha fazla bilgi için bkz . Yönetilen kaynakları silinmeye karşı koruma.

Azure portalındaki

Önkoşullar

Reddetme ataması hakkında bilgi almak için aşağıdakilere sahip olmanız gerekir:

• Microsoft.Authorization/denyAssignments/readazure yerleşik rollerinin çoğuna dahil edilen izin.

Azure portalında reddetme atamalarını listeleme

Abonelik veya yönetim grubu kapsamında reddetme atamalarını listelemek için bu adımları izleyin.

1. Azure portalında, kaynak grubu veya abonelik gibi seçili kapsamı açın.

2. Erişim denetimi (IAM) öğesini seçin.

3. Atamaları reddet sekmesini seçin (veya Reddetme atamalarını görüntüle kutucuğundaki Görünüm düğmesini seçin).

   Bu kapsamda veya bu kapsamda devralınan reddetme atamaları varsa, bunlar listelenir.

   

4. Ek sütunları görüntülemek için Sütunları Düzenle'yi seçin.

   

   Sütun	Veri Akışı Açıklaması
   Adı	Reddetme atamasının adı.
   Asıl tür	Kullanıcı, grup, sistem tanımlı grup veya hizmet sorumlusu.
   Redd -edildi	Reddetme atamasına dahil edilen güvenlik sorumlusunun adı.
   Kimlik	Reddetme ataması için benzersiz tanımlayıcı.
   Dışlanan sorumlular	Reddetme atamasının dışında tutulan güvenlik sorumluları olup olmadığı.
   Çocuklar için geçerli değildir	Reddetme atamasının alt kapsamlara devralınıp devralınmadığı.
   Sistem korumalı	Reddetme atamasının Azure tarafından yönetilip yönetilmediği. Şu anda her zaman Evet.
   Scope	Yönetim grubu, abonelik, kaynak grubu veya kaynak.

5. Etkin öğelerden herhangi birine onay işareti ekleyin ve ardından seçili sütunları görüntülemek için Tamam'ı seçin.

Reddetme ataması hakkındaki ayrıntıları listeleme

Reddetme ataması hakkında ek ayrıntıları listelemek için bu adımları izleyin.

1. Önceki bölümde açıklandığı gibi Atamaları reddet bölmesini açın.

2. Kullanıcılar sayfasını açmak için reddetme ataması adını seçin.

   

   Kullanıcılar sayfası aşağıdaki iki bölümü içerir.

   Reddetme ayarı	Açıklama
   Reddetme ataması şunlar için geçerlidir:	Reddetme atamasının uygulandığı güvenlik sorumluları.
   Atamayı reddet dışlar	Reddetme atamasının dışında tutulan güvenlik sorumluları.

   Sistem Tanımlı Sorumlu bir Azure AD dizinindeki tüm kullanıcıları, grupları, hizmet sorumlularını ve yönetilen kimlikleri temsil eder.

3. Reddedilen izinlerin listesini görmek için Reddedilen İzinler'i seçin.

   

   Eylem türü	Açıklama
   Eylemler	Kontrol düzlemi eylemleri reddedildi.
   NotActions	Kontrol düzlemi eylemleri reddedilen kontrol düzlemi eylemlerinden dışlanır.
   DataActions	Veri düzlemi eylemleri reddedildi.
   NotDataActions	Reddedilen veri düzlemi eylemlerinin dışında tutulan veri düzlemi eylemleri.

   Önceki ekran görüntüsünde gösterilen örnek için geçerli izinler şunlardır:

   • İşlem eylemleri dışında veri düzlemi üzerindeki tüm depolama eylemleri reddedilir.

4. Reddetme atamasının özelliklerini görmek için Özellikler'i seçin.

   

   Özellikler sayfasında reddetme ataması adını, kimliğini, açıklamasını ve kapsamını görebilirsiniz. Alt öğelere uygulanmaz anahtarı, reddetme atamasının alt kapsamlara devralınıp devralınmadığını gösterir. Sistem korumalı anahtar, bu reddetme atamasının Azure tarafından yönetilip yönetilmediğini gösterir. Şu anda bu, her durumda Evet'tir.

Azure PowerShell

Önkoşullar

Reddetme ataması hakkında bilgi almak için aşağıdakilere sahip olmanız gerekir:

• Microsoft.Authorization/denyAssignments/read azure yerleşik rollerinin çoğuna dahil edilen izin
• Azure Cloud Shell veya Azure PowerShell'de PowerShell

Tüm reddetme atamalarını listeleme

Geçerli aboneliğin tüm reddetme atamalarını listelemek için Get-AzDenyAssignment komutunu kullanın.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Kaynak grubu kapsamında reddetme atamalarını listeleme

Bir kaynak grubu kapsamındaki tüm reddetme atamalarını listelemek için Get-AzDenyAssignment kullanın.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Abonelik kapsamındaki reddetme atamalarını listeleme

Abonelik kapsamındaki tüm reddetme atamalarını listelemek için Get-AzDenyAssignment komutunu kullanın. Abonelik kimliğini almak için azure portalındaki Abonelikler sayfasında bulabilir veya Get-AzSubscription kullanabilirsiniz.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Önkoşullar

Reddetme ataması hakkında bilgi almak için aşağıdakilere sahip olmanız gerekir:

• Microsoft.Authorization/denyAssignments/readazure yerleşik rollerinin çoğuna dahil edilen izin.

Aşağıdaki sürümü kullanmanız gerekir:

• 2018-07-01-preview veya üzeri
• 2022-04-01 ilk kararlı sürümdür

Tek bir reddetme ataması listeleme

Tek bir reddetme atamasını listelemek için Reddetme Atamaları - REST API'sini al'ı kullanın.

1. Aşağıdaki istekle başlayın:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. URI'nin içinde {scope} öğesini reddetme atamalarını listelemek istediğiniz kapsamla değiştirin.

   Kapsam	Tür
   subscriptions/{subscriptionId}	Abonelik
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Kaynak grubu
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Kaynak

3. {deny-assignment-id} değerini almak istediğiniz reddetme atama tanımlayıcısıyla değiştirin.

Birden çok reddetme ataması listeleme

Birden çok reddetme atamasını listelemek için Atamaları Reddet - Liste REST API'sini kullanın.

1. Aşağıdaki isteklerden biriyle başlayın:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   İsteğe bağlı parametrelerle:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. URI'nin içinde {scope} öğesini reddetme atamalarını listelemek istediğiniz kapsamla değiştirin.

   Kapsam	Tür
   subscriptions/{subscriptionId}	Abonelik
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Kaynak grubu
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Kaynak

3. {filter} öğesini reddetme atama listesine filtre uygulamak istediğiniz koşulla değiştirin.

   Filtre	Açıklama
   (filtre yok)	Belirtilen kapsamın üstündeki, üstündeki ve altındaki tüm reddetme atamalarını listeler.
   $filter=atScope()	Yalnızca belirtilen kapsam ve üzeri için atamaları reddeden listeler. Alt kapsamlarda reddetme atamalarını içermez.
   $filter=assignedTo('{objectId}')	Belirtilen kullanıcı veya hizmet sorumlusu için reddetme atamalarını listeler. Kullanıcı reddetme ataması olan bir grubun üyesiyse, bu reddetme ataması da listelenir. Bu filtre gruplar için geçişli bir filtredir; bu, kullanıcı bir grubun üyesiyse ve bu grup reddetme ataması olan başka bir grubun üyesiyse, reddetme atamasının da listelendiği anlamına gelir. Bu filtre yalnızca bir kullanıcı veya hizmet sorumlusu için nesne kimliğini kabul eder. Grup için nesne kimliği geçiremezsiniz.
   $filter=atScope()+and+assignedTo('{objectId}')	Belirtilen kullanıcı veya hizmet sorumlusu için ve belirtilen kapsamdaki atamaları reddeden listeler.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Belirtilen ada sahip reddetme atamalarını listeler.
   $filter=principalId+eq+'{objectId}'	Belirtilen kullanıcı, grup veya hizmet sorumlusu için reddetme atamalarını listeler.

Kök kapsamda reddetme atamalarını listeleme (/)

1. Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için erişimi yükseltme bölümünde açıklandığı gibi erişiminizi yükseltin.

2. Aşağıdaki isteği kullanın:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. {filter} öğesini reddetme atama listesine filtre uygulamak istediğiniz koşulla değiştirin. Bir filtre gereklidir.

   Filtre	Açıklama
   $filter=atScope()	Yalnızca kök kapsam için reddetme atamalarını listeleyin. Alt kapsamlarda reddetme atamalarını içermez.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Belirtilen ada sahip reddetme atamalarını listeleyin.

4. Yükseltilmiş erişimi kaldırın.

Sonraki adımlar

• Dağıtım yığınları