Wyświetlanie listy przypisań ról platformy Azure przy użyciu interfejsu API REST
Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji używany do zarządzania dostępem do zasobów platformy Azure. Aby określić, do jakich zasobów mają dostęp użytkownicy, grupy, jednostki usługi lub tożsamości zarządzane, należy wyświetlić listę ich przypisań ról. W tym artykule opisano sposób wyświetlania listy przypisań ról przy użyciu interfejsu API REST.
Uwaga
Jeśli Twoja organizacja udostępnia funkcje zarządzania dostawcy usług, który korzysta z usługi Azure Lighthouse, przypisania ról autoryzowane przez tego dostawcę usług nie będą wyświetlane tutaj. Podobnie użytkownicy w dzierżawie dostawcy usług nie będą widzieć przypisań ról dla użytkowników w dzierżawie klienta, niezależnie od przypisanej roli.
Uwaga
Aby uzyskać informacje o wyświetlaniu lub usuwaniu danych osobowych, zobacz Ogólne żądania podmiotów danych dotyczące RODO, żądań podmiotów danych platformy Azure dotyczących RODO lub Żądań podmiotów danych systemu Windows dotyczących RODO, w zależności od konkretnego obszaru i potrzeb. Aby uzyskać więcej informacji na temat RODO, zobacz sekcję RODO centrum zaufania firmy Microsoft i sekcję RODO w portalu zaufania usług.
Wymagania wstępne
Należy użyć następującej wersji:
2015-07-01
lub nowsze2022-04-01
lub nowsze, aby uwzględnić warunki
Więcej informacji, zobacz Wersje interfejsów API REST RBAC platformy Azure.
Lista przypisań ról
Aby wyświetlić listę dostępu na podstawie ról na platformie Azure, należy wyświetlić listę przypisań ról. Aby wyświetlić listę przypisań ról, użyj jednego z interfejsów API REST uzyskiwania lub wyświetlania listy. Aby uściślić wyniki, należy określić zakres i opcjonalny filtr.
Zacznij od następującego żądania:
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter={filter}
W identyfikatorze URI zastąp element {scope} zakresem, dla którego chcesz wyświetlić listę przypisań ról.
Scope Typ providers/Microsoft.Management/managementGroups/{groupId1}
Grupa zarządzania subscriptions/{subscriptionId1}
Subskrypcja subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1
Grupa zasobów subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1
Zasób W poprzednim przykładzie microsoft.web jest dostawcą zasobów, który odwołuje się do wystąpienia usługi App Service. Podobnie można użyć dowolnego innego dostawcy zasobów i określić zakres. Aby uzyskać więcej informacji, zobacz Dostawcy i typy zasobów platformy Azure oraz obsługiwane operacje dostawcy zasobów platformy Azure.
Zastąp element {filter} warunkiem, który chcesz zastosować, aby filtrować listę przypisań ról.
Filtr opis $filter=atScope()
Wyświetla listę przypisań ról tylko dla określonego zakresu, a nie w tym przypisań ról w podzakresach. $filter=assignedTo('{objectId}')
Wyświetla listę przypisań ról dla określonego użytkownika lub jednostki usługi.
Jeśli użytkownik jest członkiem grupy, która ma przypisanie roli, to przypisanie roli jest również wyświetlane. Ten filtr jest przechodniy dla grup, co oznacza, że jeśli użytkownik jest członkiem grupy, a ta grupa jest członkiem innej grupy, która ma przypisanie roli, to przypisanie roli jest również wymienione.
Ten filtr akceptuje tylko identyfikator obiektu dla użytkownika lub jednostki usługi. Nie można przekazać identyfikatora obiektu dla grupy.$filter=atScope()+and+assignedTo('{objectId}')
Wyświetla listę przypisań ról dla określonego użytkownika lub jednostki usługi i w określonym zakresie. $filter=principalId+eq+'{objectId}'
Wyświetla listę przypisań ról dla określonego użytkownika, grupy lub jednostki usługi.
Następujące żądanie zawiera listę wszystkich przypisań ról dla określonego użytkownika w zakresie subskrypcji:
GET https://management.azure.com/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()+and+assignedTo('{objectId1}')
Poniżej przedstawiono przykład danych wyjściowych:
{
"value": [
{
"properties": {
"roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"principalId": "{objectId1}",
"principalType": "User",
"scope": "/subscriptions/{subscriptionId1}",
"condition": null,
"conditionVersion": null,
"createdOn": "2022-01-15T21:08:45.4904312Z",
"updatedOn": "2022-01-15T21:08:45.4904312Z",
"createdBy": "{createdByObjectId1}",
"updatedBy": "{updatedByObjectId1}",
"delegatedManagedIdentityResourceId": null,
"description": null
},
"id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
"type": "Microsoft.Authorization/roleAssignments",
"name": "{roleAssignmentId1}"
}
]
}