你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:检查用户对单个 Azure 资源的访问权限

有时,需检查用户对单个 Azure 资源的访问权限。 可通过列出用户的分配来检查其拥有的访问权限。 使用访问控制 (IAM) 页上的“检查访问权限”功能可快速检查单个用户的访问权限 。

步骤 1:打开 Azure 资源

若要检查用户的访问权限,首先需打开要检查其访问权限的 Azure 资源。 Azure 资源分为多个级别,这些级别通常称为范围。 在 Azure 中,可在从广义到狭义的四个级别指定范围:管理组、订阅、资源组或资源。

该图显示了 Azure RBAC 的范围级别。

请按照以下步骤打开要检查其访问权限的 Azure 资源。

  1. 打开 Azure 门户

  2. 打开想要检查访问权限的 Azure 资源,例如管理组、订阅、资源组或特定资源。

  3. 选择该范围内的特定资源。

    下面展示了一个示例资源组。

    资源组概述的屏幕截图。

步骤 2:检查访问权限

请按照以下步骤检查对先前选择的 Azure 资源的访问权限。

如果你有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 许可证,则集成了 Microsoft Entra Privileged Identity Management (PIM) 功能,应按照“PIM”选项卡上的步骤操作。

  1. 选择访问控制 (IAM)

    下面显示了资源组的“访问控制(IAM)”页的示例。

    资源组访问控制和“检查访问权限”选项卡的屏幕截图。

  2. 在“检查访问权限”选项卡上,选择“查看我的访问权限”按钮

    此时会出现“分配”窗格,其中列出了在此范围和继承到此范围的访问权限。 未列出在子范围的分配。

    该屏幕截图显示了“角色和拒绝分配”窗格。

步骤 3:检查用户的访问权限

请按照以下步骤检查单个用户、组、服务主体或托管标识对先前选择的 Azure 资源的访问权限。

  1. 选择“访问控制(IAM)”。

  2. 在“检查访问权限”选项卡上,选择“检查访问权限”按钮

    此时会显示“检查访问权限”窗格。

  3. 选择“用户、组或服务主体”。

  4. 在搜索框中,输入用于在目录中搜索名称或电子邮件地址的字符串。

    检查访问权限选择列表的屏幕截图。

  5. 选择用户打开“分配”窗格

    在此窗格上,可以查看在此范围和继承到此范围的所选用户的访问权限。 未列出在子范围的分配。 你会看到以下分配:

    • 通过 Azure RBAC 添加的角色分配。
    • 使用 Azure 蓝图或 Azure 托管应用添加的拒绝分配。

    如果有任何符合条件的或存在时限的角色分配,可以在“符合条件的分配”选项卡上查看这些分配

    该屏幕截图显示了用户的“角色和拒绝分配”窗格。

后续步骤