Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O RBAC (controle de acesso baseado em função) do Azure é o sistema de autorização que você usa para gerenciar o acesso aos recursos do Azure. Para determinar a quais recursos os usuários, grupos, entidades de serviço ou identidades gerenciadas têm acesso, liste as atribuições das funções. Este artigo descreve como listar atribuições de função usando a CLI do Azure.
Observação
Se a sua organização tiver funções de gerenciamento terceirizadas para um provedor de serviços que usa o Azure Lighthouse, as atribuições de função autorizadas por esse provedor de serviços não serão mostradas aqui. Da mesma forma, os usuários no locatário do provedor de serviços não verão atribuições de função para usuários no locatário de um cliente, independentemente da função atribuída.
Pré-requisitos
Listar atribuições de função para um usuário
Para listar as atribuições de função para um usuário específico, use az role assignment list:
az role assignment list --assignee {assignee}
Por padrão, somente as atribuições de função para a assinatura atual serão exibidas. Para exibir as atribuições de função para a assinatura atual e abaixo, adicione o --all parâmetro. Para incluir atribuições de função em escopos pai, adicione o parâmetro --include-inherited. Para incluir atribuições de função para grupos dos quais o usuário é membro transitivamente, adicione o --include-groups parâmetro.
O exemplo a seguir lista as atribuições de função atribuídas diretamente ao patlong@contoso.com usuário:
az role assignment list --all --assignee patlong@contoso.com --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'
[
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Backup Operator",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
},
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Virtual Machine Contributor",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
}
]
Listar atribuições de função para um grupo de recursos
Para listar as atribuições de função que existem em um escopo de grupo de recursos, use az role assignment list:
az role assignment list --resource-group {resourceGroup}
O exemplo a seguir lista as atribuições de função para o grupo de recursos pharma-sales:
az role assignment list --resource-group pharma-sales --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'
[
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Backup Operator",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
},
{
"principalName": "patlong@contoso.com",
"roleDefinitionName": "Virtual Machine Contributor",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales"
},
...
]
Listar atribuições de função para um serviço de assinatura
Para listar todas as atribuições de função em um escopo de assinatura, use az role assignment list. Para obter a ID da assinatura, você pode encontrá-la na folha Assinaturas no portal do Azure ou usar az account list.
az role assignment list --scope "/subscriptions/{subscriptionId}"
Exemplo:
az role assignment list --scope "/subscriptions/00000000-0000-0000-0000-000000000000" --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'
[
{
"principalName": "admin@contoso.com",
"roleDefinitionName": "Owner",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000"
},
{
"principalName": "Subscription Admins",
"roleDefinitionName": "Owner",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000"
},
{
"principalName": "alain@contoso.com",
"roleDefinitionName": "Reader",
"scope": "/subscriptions/00000000-0000-0000-0000-000000000000"
},
...
]
Listar atribuições de função para um grupo de gerenciamento
Para listar todas as atribuições de função em um escopo de grupo de gerenciamento, use az role assignment list. Para obter a ID do grupo de gerenciamento, você pode encontrá-la na folha Grupos de Gerenciamento no portal do Azure ou usar az account management-group list.
az role assignment list --scope /providers/Microsoft.Management/managementGroups/{groupId}
Exemplo:
az role assignment list --scope /providers/Microsoft.Management/managementGroups/sales-group --output json --query '[].{principalName:principalName, roleDefinitionName:roleDefinitionName, scope:scope}'
[
{
"principalName": "admin@contoso.com",
"roleDefinitionName": "Owner",
"scope": "/providers/Microsoft.Management/managementGroups/sales-group"
},
{
"principalName": "alain@contoso.com",
"roleDefinitionName": "Reader",
"scope": "/providers/Microsoft.Management/managementGroups/sales-group"
}
]
Listar atribuições de função para uma identidade gerenciada
Obtenha a ID principal da identidade gerenciada atribuída pelo sistema ou atribuída pelo usuário.
Para obter a ID principal de uma identidade gerenciada atribuída pelo usuário, você pode usar az ad sp list ou az identity list.
az ad sp list --display-name "{name}" --query [].id --output tsvPara obter a ID principal de uma identidade gerenciada atribuída pelo sistema, você pode usar az ad sp list.
az ad sp list --display-name "{vmname}" --query [].id --output tsvPara listar as atribuições de função, use az role assignment list.
Por padrão, somente as atribuições de função para a assinatura atual serão exibidas. Para exibir as atribuições de função para a assinatura atual e abaixo, adicione o
--allparâmetro. Para exibir atribuições de função herdadas, adicione o--include-inheritedparâmetro.az role assignment list --assignee {objectId}