Вывод списка назначений ролей Azure с помощью портал Azure

Управление доступом на основе ролей Azure (Azure RBAC) — это система авторизации, используемая для управления доступом к ресурсам в Azure. Чтобы определить, к каким ресурсам пользователи, группы, субъекты-службы или управляемые удостоверения имеют доступ, необходимо просмотреть их назначения ролей. В этой статье описывается, как перечислить назначения ролей с помощью портал Azure.

Примечание.

Если ваша организация передала функции управления поставщику услуг, который использует службу Azure Lighthouse, то назначения ролей, предоставленные этим поставщиком услуг, здесь отображаться не будут. Аналогичным образом пользователи в клиенте поставщика услуг не будут видеть назначения ролей для пользователей в клиенте клиента независимо от назначенной им роли.

Необходимые компоненты

Microsoft.Authorization/roleAssignments/read разрешение, например читатель

Вывод списка назначений ролей для пользователя или группы

Чтобы быстро просмотреть роли, назначенные пользователю или группе в подписке, используйте область назначения ролей Azure.

  1. На портале Azure выберите Все службы в меню «Портал Azure».

  2. Выберите Microsoft Entra ID, затем — Пользователи или Группы.

  3. Выберите пользователя или группу, для которой необходимо сформировать список назначения ролей.

  4. Щелкните Назначение ролей Azure.

    Отобразится список ролей, назначенных выбранному пользователю или группе в различных областях, таких как группа управления, подписка, группа ресурсов или ресурс. В этом списке содержатся все назначения ролей, для которых у вас есть разрешение на чтение.

    Снимок экрана: назначения ролей для пользователя.

  5. Чтобы изменить подписку, щелкните список Подписки.

Список владельцев подписки

Пользователи, которым назначена роль Владелец подписки, могут управлять всеми типами данных в подписке. Чтобы создать список владельцев подписки, выполните следующие действия.

  1. На портале Azure щелкните Все службы, а затем Подписки.

  2. Щелкните подписку, для которой нужно создать список владельцев.

  3. Выберите Управление доступом (IAM).

  4. Щелкните вкладку Назначения ролей, чтобы просмотреть все назначения ролей для этой подписки.

  5. Перейдите к разделу Владельцы, чтобы просмотреть всех пользователей, которым была назначена роль владельца этой подписки.

    Снимок экрана: вкладка

Перечисление назначений привилегированных ролей администратора или управление ими

На вкладке "Назначения ролей" можно отобразить список и просмотреть количество назначений привилегированных ролей администратора в текущей области. Дополнительные сведения см. в разделе "Роли привилегированного администратора".

  1. На портале Microsoft Azure щелкните Все службы, а затем выберите область. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Щелкните конкретный ресурс.

  3. Выберите Управление доступом (IAM).

  4. Перейдите на вкладку "Назначения ролей" и перейдите на вкладку "Привилегированные", чтобы получить список назначений привилегированных ролей администратора в этой области.

    Снимок экрана: страница управления доступом, вкладка

  5. Чтобы просмотреть количество назначений привилегированных ролей администратора в этой области, см. карточку с привилегированными правами.

  6. Чтобы управлять назначениями привилегированных ролей администратора, см. карточку с привилегированными правами и щелкните "Просмотреть назначения".

    На странице "Управление назначениями привилегированных ролей" можно добавить условие, чтобы ограничить назначение привилегированной роли или удалить назначение роли. Дополнительные сведения см. в статье "Делегирование управления назначениями ролей Azure другим пользователям с условиями".

    Снимок экрана: страница

Вывод списка назначений ролей в области

Выполните следующие действия:

  1. На портале Microsoft Azure щелкните Все службы, а затем выберите область. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Щелкните конкретный ресурс.

  3. Выберите Управление доступом (IAM).

  4. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

    Если у вас есть лицензия Microsoft Entra ID Free или Microsoft Entra ID P1, вкладка "Назначения ролей" аналогична следующему снимку экрана.

    Снимок экрана: вкладка

    Если у вас есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, вкладка "Назначения ролей" аналогична следующему снимку экрана для групп управления, подписки и групп ресурсов. Эта возможность развертывается на этапах, поэтому она может быть недоступна в клиенте или интерфейсе может выглядеть иначе.

    Снимок экрана: вкладки

    Вы увидите столбец State с одним из следующих состояний:

    State Description
    Активный постоянный Назначение роли, где пользователь всегда может использовать роль, не выполняя каких-либо действий.
    Активная привязка к времени Назначение ролей, в котором пользователь может использовать роль без выполнения каких-либо действий только в пределах дат начала и окончания.
    Допустимый постоянный Назначение роли, где пользователь всегда имеет право активировать роль.
    Допустимые сроки Назначение роли, когда пользователь может активировать роль в только в период между указанными датами начала и окончания.

    В будущем можно задать дату начала.

    Если вы хотите указать время начала и окончания назначения ролей, нажмите кнопку "Изменить столбцы " и выберите "Время начала" и "Время окончания".

    Снимок экрана: панель

    Обратите внимание, что одни роли привязаны к этому ресурсу, а другие унаследованы из другой области. Доступ назначается конкретному ресурсу либо наследуется от назначения в родительской области.

Вывод списка назначений ролей для пользователя в области

Чтобы сформировать список прав доступа для пользователя, группы, субъекта-службы или управляемого удостоверения, сформируйте соответствующий список назначений ролей. Выполните следующие действия, чтобы сформировать список назначения ролей для одного пользователя, группы, субъекта-службы или управляемого удостоверения в определенной области.

  1. На портале Microsoft Azure щелкните Все службы, а затем выберите область. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Щелкните конкретный ресурс.

  3. Выберите Управление доступом (IAM).

    Снимок экрана: управление доступом к группе ресурсов и вкладка

  4. На вкладке "Проверка доступа" нажмите кнопку "Проверить доступ ".

  5. В области "Проверка доступа" щелкните "Пользователь", "Группа" или "Субъект-служба" или "Управляемое удостоверение".

  6. В поле поиска введите строку для поиска в каталоге по отображаемым именам, адресам электронной почты или идентификаторам объектов.

    Снимок экрана: список выбора для проверки доступа.

  7. Выберите субъект безопасности, чтобы открыть область Назначения.

    На этой панели вы можете просмотреть права доступа выбранного субъекта безопасности в этой области и унаследованные от этой области. Назначения в дочерних областях не указаны. Отобразятся следующие назначения:

    • Назначения ролей, добавленные с помощью Azure RBAC.
    • Назначения запрета, добавленные с помощью Azure Blueprints или управляемых приложений Azure.
    • Назначения классического администратора службы или соадминистратора для классических развертываний.

    Снимок экрана: область назначений.

Вывод списка назначений ролей для управляемого удостоверения

Вы можете сформировать список назначений ролей для назначенных системой и пользователем управляемых удостоверений в определенной области с помощью колонки Управление доступом (IAM), как описано выше. В этом разделе описывается, как сформировать список назначений ролей только для управляемого удостоверения.

Управляемое удостоверение, назначаемое системой

  1. На портале Azure откройте управляемое удостоверение, назначенное системой.

  2. В меню слева выберите пункт Удостоверение.

    Снимок экрана: управляемое удостоверение, назначаемое системой.

  3. В разделе Разрешения нажмите кнопку Назначения ролей Azure.

    Отобразится список ролей, назначенных выбранному управляемому удостоверению, назначенному системой в различных областях, таких как группа управления, подписка, группа ресурсов или ресурс. В этом списке содержатся все назначения ролей, для которых у вас есть разрешение на чтение.

    Снимок экрана: назначения ролей для управляемого удостоверения, назначаемого системой.

  4. Чтобы изменить подписку, щелкните список Подписка.

    Управляемое удостоверение, назначаемое пользователем

    1. На портале Azure откройте управляемое удостоверение, назначаемое пользователем.

    2. Щелкните Назначение ролей Azure.

      Отобразится список ролей, назначенных выбранному управляемому удостоверению, назначенному пользователем в различных областях, таких как группа управления, подписка, группа ресурсов или ресурс. В этом списке содержатся все назначения ролей, для которых у вас есть разрешение на чтение.

      Снимок экрана: назначения ролей для управляемого удостоверения, назначаемого пользователем.

    3. Чтобы изменить подписку, щелкните список Подписка.

Список назначений ролей

В каждой подписке может быть до 4000 назначений ролей. Это ограничение распространяется на назначения ролей в пределах подписки, группы ресурсов и ресурсов. Соответствующие назначения ролей и назначения ролей, запланированные в будущем, не учитываются в этом пределе. Для упрощения отслеживания этого ограничения на вкладку Назначения ролей добавлена диаграмма, в которой указаны количественные показатели назначения ролей для текущей подписки.

Снимок экрана: диаграмма управления доступом и количество назначений ролей.

Если количество назначений ролей близко к максимальному, при попытке добавить дополнительные назначения ролей вы увидите предупреждение на панели Добавление назначения роли. Способы уменьшения числа назначений ролей см. в разделе "Устранение неполадок с ограничениями Azure RBAC".

Снимок экрана: предупреждение об управлении доступом и добавлении назначения ролей.

Загрузка назначений ролей

Назначения ролей в области можно загрузить в форматах CSV или JSON. Это может быть полезно, если необходимо проверить список в электронной таблице или выполнить инвентаризацию при переносе подписки.

При загрузке назначений ролей следует учитывать следующие критерии:

  • Если у вас нет разрешений на чтение каталога, например роль «Читатели каталога», столбцы DisplayName, SignInName и ObjectType будут пустыми.
  • Назначения ролей, субъект безопасности которых был удален, не учитываются.
  • Доступ, предоставленный классическим администраторам, не учитывается.

Выполните следующие действия, чтобы загрузить назначения ролей в области.

  1. В портал Azure щелкните Все службы, а затем выберите область, в которой необходимо загрузить назначения ролей. Например, можно выбрать Группы управления, Подписки, Группы ресурсов или конкретный ресурс.

  2. Щелкните конкретный ресурс.

  3. Выберите Управление доступом (IAM).

  4. Нажмите кнопку Загрузить назначения ролей, чтобы открыть панель «Загрузка назначений ролей».

    Снимок экрана: управление доступом и скачивание назначений ролей.

  5. С помощью флажков выберите назначения ролей, которые необходимо включить в загруженный файл.

    • Унаследовано — включение наследуемых назначений ролей для текущей области.
    • В текущей области — включение назначений ролей для текущей области.
    • Дочерние элементы — включение назначений ролей на уровнях ниже текущей области. Этот флажок снят для области группы управления.
  6. Выберите формат файла, который может содержать значения с разделителями-запятыми (CSV) или нотацию объектов JavaScript (JSON).

  7. Укажите имя файла.

  8. Щелкните Запустить, чтобы начать загрузку.

    Ниже приведены примеры выходных данных для каждого формата файла.

    Снимок экрана: скачивание назначений ролей в формате CSV.

    Снимок экрана с загруженными назначениями ролей в формате JSON.