Поделиться через

Вывод списка назначений ролей Azure с помощью портала Azure

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Чтобы определить, к каким ресурсам пользователи, группы, роли служб или управляемые удостоверения имеют доступ, необходимо перечислить их назначения ролей. В этой статье описывается, как перечислить назначения ролей с помощью портал Azure.

Замечание

Если ваша организация передала функции управления поставщику услуг, который использует службу Azure Lighthouse, то назначения ролей, предоставленные этим поставщиком услуг, здесь отображаться не будут. Аналогичным образом, пользователи в арендаторах поставщика услуг не будут видеть назначения ролей для пользователей в арендаторах клиентов, независимо от роли, назначенной им.

Предпосылки

Microsoft.Authorization/roleAssignments/read разрешение, например Читатель

Список распределений ролей для пользователя или группы

Чтобы быстро просмотреть роли, назначенные пользователю или группе в подписке, используйте область назначения ролей Azure.

  1. На портале Azure выберите Все службы в меню «Портал Azure».

  2. Выберите Microsoft Entra ID, затем — Пользователи или Группы.

  3. Выберите пользователя или группу, для которой необходимо сформировать список назначения ролей.

  4. Щелкните Назначение ролей Azure.

    Отобразится список ролей, назначенных выбранному пользователю или группе в различных областях, таких как группа управления, подписка, группа ресурсов или ресурс. Этот список включает все назначения ролей, которые у вас есть разрешение на чтение.

    Снимок экрана: назначения ролей для пользователя.

  5. Чтобы изменить подписку, щелкните список Подписки.

Замечание

При попытке получить доступ кназначениям ролей Azure>подписки из Центра администрирования Intune может появиться сообщение об ошибке, похожее на сбой. Ожидается, что центр администрирования Intune не поддерживает управление подписками Azure. Используйте портал Azure или Центр администрирования Microsoft Entra для управления назначениями ролей подписки Azure.

Список владельцев подписки

Пользователи, которым назначена роль Владелец подписки, могут управлять всеми типами данных в подписке. Чтобы создать список владельцев подписки, выполните следующие действия.

  1. На портале Azure щелкните Все службы, а затем Подписки.

  2. Щелкните подписку, владельцев которой вы хотите отобразить.

  3. Выберите Управление доступом (IAM).

  4. Щелкните вкладку Назначения ролей, чтобы просмотреть все назначения ролей для этой подписки.

  5. Перейдите к разделу Владельцы, чтобы просмотреть всех пользователей, которым была назначена роль владельца этой подписки.

    Снимок экрана: вкладка

Перечисление назначений привилегированных ролей администратора или управление ими

На вкладке "Назначения ролей" можно отобразить список и просмотреть количество назначений привилегированных ролей администратора в текущей области. Дополнительные сведения см. в разделе "Роли привилегированного администратора".

  1. На портале Microsoft Azure щелкните Все службы, а затем выберите область. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Нажмите на конкретный ресурс.

  3. Выберите Управление доступом (IAM).

  4. Перейдите на вкладку "Назначения ролей" и перейдите на вкладку "Привилегированные", чтобы получить список назначений привилегированных ролей администратора в этой области.

    Снимок экрана: страница управления доступом, вкладка

  5. Чтобы просмотреть количество назначений привилегированных ролей администратора в этой области, см. карточку Привилегированные.

  6. Чтобы управлять назначениями привилегированных ролей администратора, см. карточку с привилегированными правами и щелкните "Просмотреть назначения".

    На странице "Управление назначениями привилегированных ролей" можно добавить условие, чтобы ограничить назначение привилегированной роли или удалить назначение роли. Дополнительные сведения см. в статье "Делегирование управления назначениями ролей Azure другим пользователям с условиями".

    Снимок экрана: страница

Перечислить назначения ролей на уровне

  1. На портале Microsoft Azure щелкните Все службы, а затем выберите область. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Нажмите на конкретный ресурс.

  3. Выберите Управление доступом (IAM).

  4. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

    Если у вас есть лицензия Microsoft Entra ID Free или Microsoft Entra ID P1, вкладка "Назначения ролей" аналогична следующему снимку экрана.

    Снимок экрана: вкладка

    Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, вкладка "Назначения ролей" аналогична следующему снимку экрана для групп управления, подписки и групп ресурсов. Эта возможность развертывается поэтапно, так что она может быть недоступна в вашей клиентской среде, или ваш интерфейс может выглядеть иначе.

    Снимок экрана: вкладки

    Вы увидите столбец State с одним из следующих состояний:

    Государство Description
    Постоянно активный Назначение роли, где пользователь всегда может использовать роль, не выполняя каких-либо действий.
    Активная привязка к времени Назначение ролей, в котором пользователь может использовать роль без выполнения каких-либо действий только в пределах дат начала и окончания.
    Допустимый постоянный Назначение роли, где пользователь всегда имеет право активировать роль.
    Допустимые временные ограничения Назначение роли, при котором пользователь может активировать роль только в указанный период начала и окончания.

    В будущем можно задать дату начала.

    Если вы хотите указать время начала и окончания назначения ролей, нажмите кнопку "Изменить столбцы " и выберите "Время начала" и "Время окончания".

    Снимок экрана: панель

    Обратите внимание, что одни роли привязаны к этому ресурсу, а другие унаследованы из другой области. Доступ назначается конкретному ресурсу либо наследуется от назначения в родительской области.

Список назначений ролей для пользователя в контексте

Чтобы сформировать список прав доступа для пользователя, группы, субъекта-службы или управляемого удостоверения, сформируйте соответствующий список назначений ролей. Выполните следующие действия, чтобы сформировать список назначения ролей для одного пользователя, группы, служебного принципала или управляемого удостоверения в определенном объеме.

  1. На портале Microsoft Azure щелкните Все службы, а затем выберите область. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Нажмите на конкретный ресурс.

  3. Выберите Управление доступом (IAM).

    Снимок экрана: управление доступом к группе ресурсов и вкладка

  4. На вкладке "Проверка доступа" нажмите кнопку "Проверить доступ ".

  5. В области "Проверка доступа" нажмите "Пользователь", "Группа" или "Учетная запись службы" или "Управляемое удостоверение".

  6. В поле поиска введите строку для поиска в каталоге по отображаемым именам, адресам электронной почты или идентификаторам объектов.

    Снимок экрана: список выбора для проверки доступа.

  7. Выберите субъект безопасности, чтобы открыть область Назначения.

    На этой панели вы можете просмотреть права доступа выбранного субъекта безопасности в рамках данного уровня и унаследованные на данном уровне. Назначения в дочерних областях не перечислены. Вы видите следующие задания:

    • Назначения ролей, добавленные с помощью Azure RBAC.
    • Отклонить назначения, добавленные с помощью Azure Blueprints или управляемых приложений Azure.

    Снимок экрана: область назначений.

Список назначений ролей для управляемого удостоверения

Вы можете сформировать список назначений ролей для системных и пользовательских управляемых удостоверений в определенной области с помощью панели Управление доступом (IAM), как было описано ранее. В этом разделе описывается, как сформировать список назначений ролей только для управляемого удостоверения.

Назначаемый системой управляемый идентификатор

  1. На портале Azure откройте управляемое удостоверение, назначаемое системой.

  2. В меню слева нажмите кнопку "Удостоверение".

    Снимок экрана: управляемое удостоверение, назначаемое системой.

  3. В разделе Разрешения нажмите кнопку Назначения ролей Azure.

    Отобразится список ролей, назначенных выбранному управляемому удостоверению, назначенному системой в различных областях, таких как группа управления, подписка, группа ресурсов или ресурс. Этот список включает все назначения ролей, которые у вас есть разрешение на чтение.

    Снимок экрана назначений ролей для управляемой идентичности, назначенной системой.

  4. Чтобы изменить подписку, щелкните список подписок .

Управляемая идентификация, назначаемая пользователем

  1. На портале Azure откройте управляемую идентификацию, назначенную пользователем.

  2. Щелкните Назначение ролей Azure.

    Отобразится список ролей, назначенных выбранному управляемому удостоверению, назначенному пользователем в различных областях, таких как группа управления, подписка, группа ресурсов или ресурс. Этот список включает все назначения ролей, которые у вас есть разрешение на чтение.

    Снимок экрана назначений ролей для управляемой идентификации, назначенной пользователем.

  3. Чтобы изменить подписку, щелкните список подписок .

Список назначений ролей

В каждой подписке может быть до 4000 назначений ролей. Это ограничение распространяется на назначения ролей в пределах подписки, группы ресурсов и областей ресурсов. Подходящие назначения ролей и запланированные на будущее назначения ролей не учитываются в этом пределе. Для упрощения отслеживания этого ограничения на вкладку Назначения ролей добавлена диаграмма, в которой указаны количественные показатели назначения ролей для текущей подписки.

Снимок экрана: диаграмма управления доступом и количество назначений ролей.

Если количество назначений ролей близко к максимальному, при попытке добавить дополнительные назначения ролей вы увидите предупреждение на панели Добавление назначения роли. Способы уменьшения числа назначений ролей см. в разделе "Устранение неполадок с ограничениями Azure RBAC".

Снимок экрана с предупреждением о контроле доступа и добавлении назначения ролей.

Загрузка назначений ролей

Назначения ролей в области можно загрузить в форматах CSV или JSON. Это может быть полезно, если необходимо проверить список в электронной таблице или выполнить инвентаризацию при переносе подписки.

При загрузке назначений ролей следует учитывать следующие критерии:

  • Если у вас нет разрешений на чтение каталога, например роль «Читатели каталога», столбцы DisplayName, SignInName и ObjectType будут пустыми.
  • Назначения ролей, субъект безопасности которых был удален, не учитываются.
  • Доступ, предоставленный классическим администраторам, не учитывается.

Выполните следующие действия, чтобы загрузить назначения ролей в заданной области.

  1. В портале Azure щелкните Все службы, а затем выберите область, где вы хотите получить назначения ролей. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Нажмите на конкретный ресурс.

  3. Выберите Управление доступом (IAM).

  4. Нажмите кнопку Загрузить назначения ролей, чтобы открыть панель «Загрузка назначений ролей».

    Снимок экрана: управление доступом и назначение ролей для скачивания.

  5. С помощью флажков выберите назначения ролей, которые необходимо включить в загруженный файл.

    • Унаследовано — включение наследуемых назначений ролей для текущей области.
    • В текущей области — включение назначений ролей для текущей области.
    • Дочерние элементы — включить назначения ролей на уровнях ниже текущей области. Этот флажок отключен для области применения группы управления.

  6. Выберите формат файла, который может содержать значения с разделителями-запятыми (CSV) или нотацию объектов JavaScript (JSON).

  7. Укажите имя файла.

  8. Щелкните Запустить, чтобы начать загрузку.

    Ниже приведены примеры выходных данных для каждого формата файла.

    Снимок экрана: скачивание назначений ролей в формате CSV.

    Снимок экрана с загруженными назначениями ролей в формате JSON.

Связанный контент

  • Last updated on