Répertorier les attributions de rôles Azure à l’aide d’Azure CLI

Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est le système d’autorisation que vous utilisez pour gérer l’accès aux ressources Azure. Pour déterminer les ressources auxquelles les utilisateurs, les groupes, les principaux de service et les identités managées ont accès, vous devez lister les rôles qui leur sont attribués. Cet article explique comment répertorier les attributions de rôles à l’aide d’Azure CLI.

Prerequisites

• Bash dans Azure Cloud Shell ou Azure CLI

Répertorier les attributions de rôles pour un utilisateur

Pour répertorier les attributions de rôles pour un utilisateur spécifique, utilisez az role assignment list :

az role assignment list --assignee {assignee}

Par défaut, seules les attributions de rôles pour l’abonnement actuel s’affichent. Pour afficher les attributions de rôles pour l’abonnement actuel et ci-dessous, ajoutez le --all paramètre. Si vous souhaitez inclure des attributions de rôles dans les étendues parentes, ajoutez le paramètre --include-inherited. Pour inclure des attributions de rôles pour les groupes dont l’utilisateur est membre transitivement, ajoutez le --include-groups paramètre.

L’exemple suivant répertorie les attributions de rôles qui sont affectées directement à l’utilisateur patlong@contoso.com :

az role assignment list --all --assignee patlong@contoso.com --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'

[
  {
    "principalName": "patlong@contoso.com",
    "roleDefinitionName": "Backup Operator",
    "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
  },
  {
    "principalName": "patlong@contoso.com",
    "roleDefinitionName": "Virtual Machine Contributor",
    "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
  }
]

Répertorier les attributions de rôles pour un groupe de ressources

Pour répertorier les attributions de rôles qui existent dans une étendue de groupe de ressources, utilisez az role assignment list :

az role assignment list --resource-group {resourceGroup}

L’exemple suivant répertorie les attributions de rôles pour le groupe de ressources pharma-sales :

az role assignment list --resource-group pharma-sales --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'

[
  {
    "principalName": "patlong@contoso.com",
    "roleDefinitionName": "Backup Operator",
    "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
  },
  {
    "principalName": "patlong@contoso.com",
    "roleDefinitionName": "Virtual Machine Contributor",
    "scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
  },
  
  ...

]

Répertorier les attributions de rôles pour un abonnement

Pour répertorier toutes les attributions de rôles dans une étendue d’abonnement, utilisez az role assignment list. Pour obtenir l’ID d’abonnement, vous pouvez le trouver dans le panneau Abonnements du portail Azure ou utiliser la liste des comptes az.

az role assignment list --scope "/subscriptions/{subscriptionId}"

Exemple :

az role assignment list --scope "/subscriptions/00000000-0000-0000-0000-000000000000" --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'

[
  {
    "principalName": "admin@contoso.com",
    "roleDefinitionName": "Owner",
    "scope": "/subscriptions/00000000-0000-0000-0000-000000000000"
  },
  {
    "principalName": "Subscription Admins",
    "roleDefinitionName": "Owner",
    "scope": "/subscriptions/00000000-0000-0000-0000-000000000000"
  },
  {
    "principalName": "alain@contoso.com",
    "roleDefinitionName": "Reader",
    "scope": "/subscriptions/00000000-0000-0000-0000-000000000000"
  },

  ...

]

Répertorier les attributions de rôles pour un groupe d’administration

Pour répertorier toutes les attributions de rôles dans une étendue de groupe d’administration, utilisez az role assignment list. Pour obtenir l’ID du groupe d’administration, vous pouvez le trouver dans le panneau Groupes d’administration dans le portail Azure ou utiliser la liste az account management-group.

az role assignment list --scope /providers/Microsoft.Management/managementGroups/{groupId}

Exemple :

az role assignment list --scope /providers/Microsoft.Management/managementGroups/sales-group --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'

[
  {
    "principalName": "admin@contoso.com",
    "roleDefinitionName": "Owner",
    "scope": "/providers/Microsoft.Management/managementGroups/sales-group"
  },
  {
    "principalName": "alain@contoso.com",
    "roleDefinitionName": "Reader",
    "scope": "/providers/Microsoft.Management/managementGroups/sales-group"
  }
]

Répertorier les attributions de rôles pour une identité managée

1. Obtenez l'ID principal de l'identité managée assignée par le système ou par l'utilisateur.

   Pour obtenir l’ID principal d’une identité managée affectée par l’utilisateur, vous pouvez utiliser az ad sp list ou az identity list.

   az ad sp list --display-name "{name}" --query [].id --output tsv
   

   Pour obtenir l’ID principal d’une identité managée affectée par le système, vous pouvez utiliser az ad sp list.

   az ad sp list --display-name "{vmname}" --query [].id --output tsv
   

2. Pour répertorier les attributions de rôles, utilisez az role assignment list.

   Par défaut, seules les attributions de rôles pour l’abonnement actuel s’affichent. Pour afficher les attributions de rôles pour l’abonnement actuel et ci-dessous, ajoutez le --all paramètre. Pour afficher les attributions de rôles héritées, ajoutez le --include-inherited paramètre.

   az role assignment list --assignee {objectId}
   

Étapes suivantes

Attribuer des rôles Azure à l’aide d’Azure CLI