Sdílet prostřednictvím

Výpis přiřazení rolí Azure pomocí rozhraní REST API

  • Článek

Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém, který používáte ke správě přístupu k prostředkům Azure. Pokud chcete určit, k jakým prostředkům mají uživatelé, skupiny, instanční objekty nebo spravované identity přístup, uveďte jejich přiřazení rolí. Tento článek popisuje, jak vypsat přiřazení rolí pomocí rozhraní REST API.

Poznámka:

Pokud má vaše organizace odsouděné funkce správy poskytovateli služeb, který používá Azure Lighthouse, nezobrazí se tady přiřazení rolí autorizovaných poskytovatelem služeb. Podobně uživatelé v tenantovi poskytovatele služeb neuvidí přiřazení rolí pro uživatele v tenantovi zákazníka bez ohledu na přiřazenou roli.

Poznámka:

Informace o zobrazování nebo odstraňování osobních údajů najdete v tématu Obecné žádosti subjektů údajů o GDPR, žádosti subjektů údajů Azure o GDPR nebo žádosti subjektů údajů o gdpr ve Windows v závislosti na vaší konkrétní oblasti a potřebách. Další informace o GDPR najdete v části GDPR v Centru zabezpečení Microsoftu a v části GDPR na portálu Service Trust Portal.

Požadavky

Musíte použít následující verzi:

  • 2015-07-01 nebo novější
  • 2022-04-01 nebo později, pokud chcete zahrnout podmínky

Další informace najdete v tématu Verze rozhraní API Azure RBAC REST API.

Zobrazení seznamu přiřazení rolí

Pokud chcete v Azure RBAC vypsat přístup, vypíšete přiřazení rolí. Pokud chcete zobrazit seznam přiřazení rolí, použijte jedno z rozhraní REST API získání nebo výpisu přiřazení rolí. Pokud chcete upřesnit výsledky, zadejte obor a volitelný filtr.

  1. Začněte následujícím požadavkem:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter={filter}

  2. V rámci identifikátoru URI nahraďte {scope} oborem, pro který chcete zobrazit seznam přiřazení rolí.

    Obor Typ
    providers/Microsoft.Management/managementGroups/{groupId1} Skupina pro správu
    subscriptions/{subscriptionId1} Předplatné
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Skupina prostředků
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Prostředek

    V předchozím příkladu je microsoft.web poskytovatelem prostředků, který odkazuje na instanci služby App Service. Podobně můžete použít libovolné jiné poskytovatele prostředků a zadat rozsah. Další informace najdete v tématu Poskytovatelé prostředků Azure a typy a podporované operace poskytovatele prostředků Azure.

  3. Nahraďte {filter} podmínkou, kterou chcete použít k filtrování seznamu přiřazení rolí.

    Filtr Popis
    $filter=atScope() Zobrazí seznam přiřazení rolí pouze pro zadaný obor, nikoli pro přiřazení rolí v podskopech.
    $filter=assignedTo('{objectId}') Zobrazí seznam přiřazení rolí pro zadaného uživatele nebo instančního objektu.
    Pokud je uživatel členem skupiny, která má přiřazení role, zobrazí se také toto přiřazení role. Tento filtr je tranzitivní pro skupiny, což znamená, že pokud je uživatel členem skupiny a tato skupina je členem jiné skupiny, která má přiřazení role, je uvedené také toto přiřazení role.
    Tento filtr přijímá pouze ID objektu pro uživatele nebo instanční objekt. Id objektu pro skupinu nelze předat.
    $filter=atScope()+and+assignedTo('{objectId}') Zobrazí seznam přiřazení rolí pro zadaného uživatele nebo instančního objektu a v zadaném oboru.
    $filter=principalId+eq+'{objectId}' Zobrazí seznam přiřazení rolí pro zadaného uživatele, skupiny nebo instančního objektu.

Následující požadavek obsahuje seznam všech přiřazení rolí pro zadaného uživatele v oboru předplatného:

GET https://management.azure.com/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()+and+assignedTo('{objectId1}')

Následuje příklad výstupu:

{
    "value": [
        {
            "properties": {
                "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
                "principalId": "{objectId1}",
                "principalType": "User",
                "scope": "/subscriptions/{subscriptionId1}",
                "condition": null,
                "conditionVersion": null,
                "createdOn": "2022-01-15T21:08:45.4904312Z",
                "updatedOn": "2022-01-15T21:08:45.4904312Z",
                "createdBy": "{createdByObjectId1}",
                "updatedBy": "{updatedByObjectId1}",
                "delegatedManagedIdentityResourceId": null,
                "description": null
            },
            "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
            "type": "Microsoft.Authorization/roleAssignments",
            "name": "{roleAssignmentId1}"
        }
    ]
}

Další kroky