Azure-szerepkördefiníciók listázása
A szerepkördefiníciók olyan engedélyek gyűjteményei, amelyek végrehajthatók, például olvasás, írás és törlés. Ezt általában csak szerepkörnek nevezik. Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) több mint 120 beépített szerepkört biztosít, vagy létrehozhat saját egyéni szerepköröket. Ez a cikk bemutatja, hogyan listázhatja az Azure-erőforrásokhoz való hozzáférés biztosításához használható beépített és egyéni szerepköröket.
A Microsoft Entra ID rendszergazdai szerepköreinek listáját a Microsoft Entra ID Rendszergazda istrator szerepkör-engedélyeivel kapcsolatban találja.
Azure Portal
Az összes szerepkör listázása
Az alábbi lépéseket követve listázhatja az összes szerepkört az Azure Portalon.
Az Azure Portalon kattintson a Minden szolgáltatás elemre, majd válasszon egy hatókört. Választhat például felügyeleti csoportokat, előfizetéseket, erőforráscsoportokat vagy erőforrásokat.
Kattintson az adott erőforrásra.
Kattintson a Hozzáférés-vezérlés (IAM) elemre.
A beépített és egyéni szerepkörök listájának megtekintéséhez kattintson a Szerepkörök lapra.
Egy adott szerepkör engedélyeinek megtekintéséhez a Részletek oszlopban kattintson a Nézet hivatkozásra.
Megjelenik egy engedélypanel.
Kattintson az Engedélyek fülre a kijelölt szerepkör engedélyeinek megtekintéséhez és kereséséhez.
Azure PowerShell
Az összes szerepkör listázása
Az Azure PowerShell összes szerepkörének listázásához használja a Get-AzRoleDefinition parancsot.
Get-AzRoleDefinition | FT Name, Description
AcrImageSigner acr image signer
AcrQuarantineReader acr quarantine data reader
AcrQuarantineWriter acr quarantine data writer
API Management Service Contributor Can manage service and the APIs
API Management Service Operator Role Can manage service but not the APIs
API Management Service Reader Role Read-only access to service and APIs
Application Insights Component Contributor Can manage Application Insights components
Application Insights Snapshot Debugger Gives user permission to use Application Insights Snapshot Debugge...
Automation Job Operator Create and Manage Jobs using Automation Runbooks.
Automation Operator Automation Operators are able to start, stop, suspend, and resume ...
...
Szerepkördefiníció listázása
Egy adott szerepkör részleteinek listázásához használja a Get-AzRoleDefinition parancsot.
Get-AzRoleDefinition <role_name>
PS C:\> Get-AzRoleDefinition "Contributor"
Name : Contributor
Id : b24988ac-6180-42a0-ab88-20f7382dd24c
IsCustom : False
Description : Lets you manage everything except access to resources.
Actions : {*}
NotActions : {Microsoft.Authorization/*/Delete, Microsoft.Authorization/*/Write,
Microsoft.Authorization/elevateAccess/Action}
DataActions : {}
NotDataActions : {}
AssignableScopes : {/}
Szerepkördefiníció listázása JSON formátumban
Egy szerepkör JSON formátumban való listázásához használja a Get-AzRoleDefinition parancsot.
Get-AzRoleDefinition <role_name> | ConvertTo-Json
PS C:\> Get-AzRoleDefinition "Contributor" | ConvertTo-Json
{
"Name": "Contributor",
"Id": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"IsCustom": false,
"Description": "Lets you manage everything except access to resources.",
"Actions": [
"*"
],
"NotActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete"
],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/"
]
}
Szerepkördefiníció engedélyeinek listázása
Egy adott szerepkör engedélyeinek listázásához használja a Get-AzRoleDefinition parancsot.
Get-AzRoleDefinition <role_name> | FL Actions, NotActions
PS C:\> Get-AzRoleDefinition "Contributor" | FL Actions, NotActions
Actions : {*}
NotActions : {Microsoft.Authorization/*/Delete, Microsoft.Authorization/*/Write,
Microsoft.Authorization/elevateAccess/Action,
Microsoft.Blueprint/blueprintAssignments/write...}
(Get-AzRoleDefinition <role_name>).Actions
PS C:\> (Get-AzRoleDefinition "Virtual Machine Contributor").Actions
Microsoft.Authorization/*/read
Microsoft.Compute/availabilitySets/*
Microsoft.Compute/locations/*
Microsoft.Compute/virtualMachines/*
Microsoft.Compute/virtualMachineScaleSets/*
Microsoft.DevTestLab/schedules/*
Microsoft.Insights/alertRules/*
Microsoft.Network/applicationGateways/backendAddressPools/join/action
Microsoft.Network/loadBalancers/backendAddressPools/join/action
...
Azure CLI
Az összes szerepkör listázása
Az Összes szerepkör az Azure CLI-ben való listázásához használja az az szerepkördefiníciós listát.
az role definition list
Az alábbi példa az összes elérhető szerepkör-definíció nevét és leírását sorolja fel:
az role definition list --output json --query '[].{roleName:roleName, description:description}'
[
{
"description": "Can manage service and the APIs",
"roleName": "API Management Service Contributor"
},
{
"description": "Can manage service but not the APIs",
"roleName": "API Management Service Operator Role"
},
{
"description": "Read-only access to service and APIs",
"roleName": "API Management Service Reader Role"
},
...
]
Az alábbi példa az összes beépített szerepkört felsorolja.
az role definition list --custom-role-only false --output json --query '[].{roleName:roleName, description:description, roleType:roleType}'
[
{
"description": "Can manage service and the APIs",
"roleName": "API Management Service Contributor",
"roleType": "BuiltInRole"
},
{
"description": "Can manage service but not the APIs",
"roleName": "API Management Service Operator Role",
"roleType": "BuiltInRole"
},
{
"description": "Read-only access to service and APIs",
"roleName": "API Management Service Reader Role",
"roleType": "BuiltInRole"
},
...
]
Szerepkördefiníció listázása
A szerepkör részleteinek listázásához használja az az role definition list(szerepkördefiníciós) listát.
az role definition list --name {roleName}
Az alábbi példa a közreműködői szerepkör definícióját sorolja fel:
az role definition list --name "Contributor"
[
{
"assignableScopes": [
"/"
],
"description": "Lets you manage everything except access to resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"dataActions": [],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete"
],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
]
Szerepkördefiníció engedélyeinek listázása
Az alábbi példa csak a közreműködői szerepkör műveleteit és nem műveleti műveleteit sorolja fel.
az role definition list --name "Contributor" --output json --query '[].{actions:permissions[0].actions, notActions:permissions[0].notActions}'
[
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete"
]
}
]
Az alábbi példa csak a virtuálisgép-közreműködői szerepkör műveleteit sorolja fel.
az role definition list --name "Virtual Machine Contributor" --output json --query '[].permissions[0].actions'
[
[
"Microsoft.Authorization/*/read",
"Microsoft.Compute/availabilitySets/*",
"Microsoft.Compute/locations/*",
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Compute/virtualMachineScaleSets/*",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.DevTestLab/schedules/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/applicationGateways/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
...
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Support/*"
]
]
REST API
Előfeltételek
A következő verziót kell használnia:
2015-07-01
vagy újabb
További információkért tekintse meg az Azure RBAC REST API-k API-verzióit.
Az összes szerepkördefiníció listázása
A bérlői szerepkördefiníciók listázásához használja a Szerepkördefiníciók – REST API listázása lehetőséget.
Az alábbi példa egy bérlő összes szerepkördefiníciójának listáját tartalmazza:
Kérelem
GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01
Válasz
{ "value": [ { "properties": { "roleName": "Billing Reader Plus", "type": "CustomRole", "description": "Read billing data and download invoices", "assignableScopes": [ "/subscriptions/473a4f86-11e3-48cb-9358-e13c220a2f15" ], "permissions": [ { "actions": [ "Microsoft.Authorization/*/read", "Microsoft.Billing/*/read", "Microsoft.Commerce/*/read", "Microsoft.Consumption/*/read", "Microsoft.Management/managementGroups/read", "Microsoft.CostManagement/*/read", "Microsoft.Billing/invoices/download/action", "Microsoft.CostManagement/exports/*" ], "notActions": [ "Microsoft.CostManagement/exports/delete" ], "dataActions": [], "notDataActions": [] } ], "createdOn": "2021-05-22T21:57:23.5764138Z", "updatedOn": "2021-05-22T21:57:23.5764138Z", "createdBy": "68f66d4c-c0eb-4009-819b-e5315d677d70", "updatedBy": "68f66d4c-c0eb-4009-819b-e5315d677d70" }, "id": "/providers/Microsoft.Authorization/roleDefinitions/17adabda-4bf1-4f4e-8c97-1f0cab6dea1c", "type": "Microsoft.Authorization/roleDefinitions", "name": "17adabda-4bf1-4f4e-8c97-1f0cab6dea1c" }, { "properties": { "roleName": "AcrPush", "type": "BuiltInRole", "description": "acr push", "assignableScopes": [ "/" ], "permissions": [ { "actions": [ "Microsoft.ContainerRegistry/registries/pull/read", "Microsoft.ContainerRegistry/registries/push/write" ], "notActions": [], "dataActions": [], "notDataActions": [] } ], "createdOn": "2018-10-29T17:52:32.5201177Z", "updatedOn": "2021-11-11T20:13:07.4993029Z", "createdBy": null, "updatedBy": null }, "id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec", "type": "Microsoft.Authorization/roleDefinitions", "name": "8311e382-0749-4cb8-b61a-304f252e45ec" } ] }
Szerepkör-definíciók felsorolása
A szerepkördefiníciók listázásához használja a Szerepkördefiníciók – REST API listázása lehetőséget. Az eredmények pontosításához meg kell adnia egy hatókört és egy választható szűrőt.
Kezdje a következő kéréssel:
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions?$filter={$filter}&api-version=2022-04-01
Bérlőszintű hatókör esetén ezt a kérést használhatja:
GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?filter={$filter}&api-version=2022-04-01
Az URI-on belül cserélje le a(z) {scope} kifejezést arra a hatókörre, amelynek a szerepkördefinícióit listázni szeretné.
Scope Type providers/Microsoft.Management/managementGroups/{groupId1}
Felügyeleti csoport subscriptions/{subscriptionId1}
Előfizetés subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1
Erőforráscsoport subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1
Resource Az előző példában a microsoft.web egy erőforrás-szolgáltató, amely egy App Service-példányra hivatkozik. Hasonlóképpen bármely más erőforrás-szolgáltatót is használhat, és megadhatja a hatókört. További információkért tekintse meg az Azure-erőforrás-szolgáltatókat és -típusokat , valamint a támogatott Azure-erőforrás-szolgáltatói műveleteket.
Cserélje le a(z) {filter} elemet a szerepkördefiníciós lista szűréséhez alkalmazni kívánt feltételre.
Szűrő Leírás $filter=type+eq+'{type}'
A megadott típusú szerepkördefiníciók listája. A szerepkör típusa lehet CustomRole
vagyBuiltInRole
.Az alábbi példa egy bérlő összes egyéni szerepkörét felsorolja:
Kérelem
GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?$filter=type+eq+'CustomRole'&api-version=2022-04-01
Válasz
{ "value": [ { "properties": { "roleName": "Billing Reader Plus", "type": "CustomRole", "description": "Read billing data and download invoices", "assignableScopes": [ "/subscriptions/473a4f86-11e3-48cb-9358-e13c220a2f15" ], "permissions": [ { "actions": [ "Microsoft.Authorization/*/read", "Microsoft.Billing/*/read", "Microsoft.Commerce/*/read", "Microsoft.Consumption/*/read", "Microsoft.Management/managementGroups/read", "Microsoft.CostManagement/*/read", "Microsoft.Billing/invoices/download/action", "Microsoft.CostManagement/exports/*" ], "notActions": [ "Microsoft.CostManagement/exports/delete" ], "dataActions": [], "notDataActions": [] } ], "createdOn": "2021-05-22T21:57:23.5764138Z", "updatedOn": "2021-05-22T21:57:23.5764138Z", "createdBy": "68f66d4c-c0eb-4009-819b-e5315d677d70", "updatedBy": "68f66d4c-c0eb-4009-819b-e5315d677d70" }, "id": "/providers/Microsoft.Authorization/roleDefinitions/17adabda-4bf1-4f4e-8c97-1f0cab6dea1c", "type": "Microsoft.Authorization/roleDefinitions", "name": "17adabda-4bf1-4f4e-8c97-1f0cab6dea1c" } ] }
Szerepkördefiníció listázása
Egy adott szerepkör részleteinek listázásához használja a szerepkördefiníciókat – Get or Role Definitions – Get By ID REST API.
Kezdje a következő kéréssel:
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}?api-version=2022-04-01
Bérlőszintű szerepkördefiníció esetén a következő kérést használhatja:
GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId}?api-version=2022-04-01
Az URI-on belül cserélje le a(z) {scope} kifejezést arra a hatókörre, amelynek a szerepkördefinícióját fel szeretné sorolni.
Scope Type providers/Microsoft.Management/managementGroups/{groupId1}
Felügyeleti csoport subscriptions/{subscriptionId1}
Előfizetés subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1
Erőforráscsoport subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1
Resource Cserélje le a(z) {roleDefinitionId} elemet a szerepkördefiníció azonosítóra.
Az alábbi példa az Olvasó szerepkör definícióját sorolja fel:
Kérelem
GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7?api-version=2022-04-01
Válasz
{ "properties": { "roleName": "Reader", "type": "BuiltInRole", "description": "View all resources, but does not allow you to make any changes.", "assignableScopes": [ "/" ], "permissions": [ { "actions": [ "*/read" ], "notActions": [], "dataActions": [], "notDataActions": [] } ], "createdOn": "2015-02-02T21:55:09.8806423Z", "updatedOn": "2021-11-11T20:13:47.8628684Z", "createdBy": null, "updatedBy": null }, "id": "/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7", "type": "Microsoft.Authorization/roleDefinitions", "name": "acdd72a7-3385-48ef-bd42-f606fba81ae7" }