Azure-roltoewijzingen weergeven met behulp van de REST API

  • Artikel

Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is het autorisatiesysteem om de toegang tot Azure-resources te beheren. Als u wilt bepalen tot welke resources gebruikers, groepen, service-principals of beheerde identiteiten toegang hebben, vermeldt u hun roltoewijzingen. In dit artikel wordt beschreven hoe u roltoewijzingen kunt weergeven met behulp van de REST API.

Notitie

Als uw organisatie beheerfuncties heeft uitbesteed aan een serviceprovider die gebruikmaakt van Azure Lighthouse, worden roltoewijzingen die zijn geautoriseerd door die serviceprovider, hier niet weergegeven. Op dezelfde manier zien gebruikers in de tenant van de serviceprovider geen roltoewijzingen voor gebruikers in de tenant van een klant, ongeacht de rol waaraan ze zijn toegewezen.

Notitie

Voor meer informatie over persoonsgegevens bekijken of verwijderen, raadpleegt u AVG-verzoeken van betrokkenen voor Azure. Zie de AVG-sectie van het Microsoft Trust Center en de AVG-sectie van de Service Trust Portal voor algemene informatie over de AVG.

Vereisten

U moet de volgende versie gebruiken:

  • 2015-07-01 of hoger
  • 2022-04-01 of hoger om voorwaarden op te nemen

Zie API-versies van Azure RBAC REST API's voor meer informatie.

Lijst met roltoewijzingen weergeven

Als u in Azure RBAC toegang wilt weergeven, vermeldt u de roltoewijzingen. Als u roltoewijzingen wilt weergeven, gebruikt u een van de Roltoewijzingen ophalen of REST API's weergeven. Als u de resultaten wilt verfijnen, geeft u een bereik en een optioneel filter op.

  1. Begin met de volgende aanvraag:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter={filter}

  2. Vervang {scope} in de URI door het bereik waarvoor u de roltoewijzingen wilt weergeven.

    Bereik Type
    providers/Microsoft.Management/managementGroups/{groupId1} Beheergroep
    subscriptions/{subscriptionId1} Abonnement
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Resourcegroep
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Bron

    In het vorige voorbeeld is microsoft.web een resourceprovider die verwijst naar een App Service-exemplaar. Op dezelfde manier kunt u alle andere resourceproviders gebruiken en het bereik opgeven. Zie Azure-resourceproviders en -typen en ondersteunde bewerkingen van Azure-resourceproviders voor meer informatie.

  3. Vervang {filter} door de voorwaarde die u wilt toepassen om de lijst met roltoewijzingen te filteren.

    Filteren Beschrijving
    $filter=atScope() Bevat roltoewijzingen voor alleen het opgegeven bereik, niet inclusief de roltoewijzingen in subscopen.
    $filter=assignedTo('{objectId}') Een lijst met roltoewijzingen voor een opgegeven gebruiker of service-principal.
    Als de gebruiker lid is van een groep met een roltoewijzing, wordt die roltoewijzing ook vermeld. Dit filter is transitief voor groepen. Dit betekent dat als de gebruiker lid is van een groep en die groep lid is van een andere groep die een roltoewijzing heeft, die roltoewijzing ook wordt vermeld.
    Dit filter accepteert alleen een object-id voor een gebruiker of een service-principal. U kunt geen object-id voor een groep doorgeven.
    $filter=atScope()+and+assignedTo('{objectId}') Een lijst met roltoewijzingen voor de opgegeven gebruiker of service-principal en voor het opgegeven bereik.
    $filter=principalId+eq+'{objectId}' Een lijst met roltoewijzingen voor een opgegeven gebruiker, groep of service-principal.

De volgende aanvraag bevat alle roltoewijzingen voor de opgegeven gebruiker binnen het abonnementsbereik:

GET https://management.azure.com/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()+and+assignedTo('{objectId1}')

Hieronder ziet u een voorbeeld van de uitvoer:

{
    "value": [
        {
            "properties": {
                "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
                "principalId": "{objectId1}",
                "principalType": "User",
                "scope": "/subscriptions/{subscriptionId1}",
                "condition": null,
                "conditionVersion": null,
                "createdOn": "2022-01-15T21:08:45.4904312Z",
                "updatedOn": "2022-01-15T21:08:45.4904312Z",
                "createdBy": "{createdByObjectId1}",
                "updatedBy": "{updatedByObjectId1}",
                "delegatedManagedIdentityResourceId": null,
                "description": null
            },
            "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
            "type": "Microsoft.Authorization/roleAssignments",
            "name": "{roleAssignmentId1}"
        }
    ]
}

Volgende stappen