Aracılığıyla paylaş

REST API kullanarak Azure rol atamalarını listeleme

  • Makale

Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına erişimi yönetmek için kullandığınız yetkilendirme sistemidir. Kullanıcıların, grupların, hizmet sorumlularının veya yönetilen kimliklerin hangi kaynaklara erişimi olduğunu belirlemek için rol atamalarını listelersiniz. Bu makalede, REST API kullanılarak rol atamalarının nasıl listelenmesi açıklanır.

Not

Kuruluşunuzun Azure Lighthouse kullanan bir hizmet sağlayıcısına dış kaynaklı yönetim işlevleri varsa, bu hizmet sağlayıcısı tarafından yetkilendirilmiş rol atamaları burada gösterilmez. Benzer şekilde, hizmet sağlayıcısı kiracısında bulunan kullanıcılar, atanmış oldukları rolden bağımsız olarak bir müşterinin kiracısında kullanıcılar için rol atamalarını görmez.

Not

Kişisel verileri görüntüleme veya silme hakkında bilgi için bkz. GDPR için Genel Veri Sahibi İstekleri, GDPR için Azure Veri Sahibi İstekleri veya belirli alanınıza ve gereksinimlerinize bağlı olarak GDPR için Windows Veri Sahibi İstekleri. GDPR hakkında daha fazla bilgi için Microsoft Güven Merkezi'nin GDPR bölümüne ve Hizmet Güveni portalının GDPR bölümüne bakın.

Önkoşullar

Aşağıdaki sürümü kullanmanız gerekir:

  • 2015-07-01 veya üzeri
  • 2022-04-01 veya daha sonra koşulları dahil etmek için

Daha fazla bilgi için bk . Azure RBAC REST API'lerinin API sürümleri.

Rol atamalarını listeleme

Azure RBAC'de erişimi listelemek için rol atamalarını listelersiniz. Rol atamalarını listelemek için Rol Atamaları Get veya List REST API'lerinden birini kullanın. Sonuçlarınızı daraltmak için bir kapsam ve isteğe bağlı bir filtre belirtirsiniz.

  1. Aşağıdaki istekle başlayın:

    GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter={filter}

  2. URI'nin içinde {scope} öğesini rol atamalarını listelemek istediğiniz kapsamla değiştirin.

    Kapsam Tür
    providers/Microsoft.Management/managementGroups/{groupId1} Yönetim Grubu
    subscriptions/{subscriptionId1} Abonelik
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Kaynak grubu
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1 Kaynak

    Önceki örnekte, microsoft.web bir App Service örneğine başvuran bir kaynak sağlayıcısıdır. Benzer şekilde, diğer tüm kaynak sağlayıcılarını kullanabilir ve kapsamı belirtebilirsiniz. Daha fazla bilgi için bkz . Azure Kaynak sağlayıcıları ve türleri ve desteklenen Azure kaynak sağlayıcısı işlemleri.

  3. {filter} öğesini rol ataması listesine filtre uygulamak istediğiniz koşulla değiştirin.

    Filtre Açıklama
    $filter=atScope() Alt kapsamlarda rol atamaları dahil değil, yalnızca belirtilen kapsam için rol atamalarını listeler.
    $filter=assignedTo('{objectId}') Belirtilen kullanıcı veya hizmet sorumlusu için rol atamalarını listeler.
    Kullanıcı rol ataması olan bir grubun üyesiyse, bu rol ataması da listelenir. Bu filtre gruplar için geçişli bir filtredir; bu, kullanıcı bir grubun üyesiyse ve bu grup rol ataması olan başka bir grubun üyesiyse, bu rol ataması da listelenir.
    Bu filtre yalnızca bir kullanıcı veya hizmet sorumlusu için nesne kimliğini kabul eder. Grup için nesne kimliği geçiremezsiniz.
    $filter=atScope()+and+assignedTo('{objectId}') Belirtilen kullanıcı veya hizmet sorumlusu için ve belirtilen kapsamda rol atamalarını listeler.
    $filter=principalId+eq+'{objectId}' Belirtilen kullanıcı, grup veya hizmet sorumlusu için rol atamalarını listeler.

Aşağıdaki istek, abonelik kapsamında belirtilen kullanıcı için tüm rol atamalarını listeler:

GET https://management.azure.com/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()+and+assignedTo('{objectId1}')

Aşağıda çıktının bir örneği gösterilmektedir:

{
    "value": [
        {
            "properties": {
                "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
                "principalId": "{objectId1}",
                "principalType": "User",
                "scope": "/subscriptions/{subscriptionId1}",
                "condition": null,
                "conditionVersion": null,
                "createdOn": "2022-01-15T21:08:45.4904312Z",
                "updatedOn": "2022-01-15T21:08:45.4904312Z",
                "createdBy": "{createdByObjectId1}",
                "updatedBy": "{updatedByObjectId1}",
                "delegatedManagedIdentityResourceId": null,
                "description": null
            },
            "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
            "type": "Microsoft.Authorization/roleAssignments",
            "name": "{roleAssignmentId1}"
        }
    ]
}

Sonraki adımlar