Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O controle de acesso baseado em função do Azure (Azure RBAC) é o sistema de autorização que você usa para gerenciar o acesso aos recursos do Azure. Para determinar a que recursos os utilizadores, grupos, principais de serviços ou identidades geridas têm acesso, liste as suas atribuições de funções. Este artigo descreve como listar atribuições de função usando a API REST.
Nota
Se sua organização tiver terceirizado funções de gerenciamento para um provedor de serviços que usa o Azure Lighthouse, as atribuições de função autorizadas por esse provedor de serviços não serão mostradas aqui. Da mesma forma, os usuários no locatário do provedor de serviços não verão atribuições de função para usuários no locatário de um cliente, independentemente da função que lhes foi atribuída.
Nota
Para obter informações sobre como exibir ou excluir dados pessoais, consulte Solicitações gerais do titular de dados para o GDPR, Solicitações do titular de dados do Azure para o GDPR ou Solicitações do titular de dados do Windows para o GDPR, dependendo da sua área e necessidades específicas. Para obter mais informações sobre o GDPR, consulte a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do portal Service Trust.
Pré-requisitos
Você deve usar a seguinte versão:
-
2015-07-01ou mais tarde -
2022-04-01ou mais tarde para incluir condições
Para mais informações, consulte Versões das APIs REST do Azure RBAC.
Listar atribuições de função
No RBAC do Azure, para listar o acesso, você lista as atribuições de função. Para listar Atribuições de Função, use uma das APIs REST Obter ou Listar. Para refinar os resultados, especifique um escopo e um filtro opcional.
Comece com a seguinte solicitação:
GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter={filter}No URI, substitua {scope} pelo escopo para o qual você deseja listar as atribuições de função.
Âmbito Tipo providers/Microsoft.Management/managementGroups/{groupId1}Grupo de Gestão subscriptions/{subscriptionId1}Subscrição subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1Grupo de recursos subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1Recurso No exemplo anterior, microsoft.web é um provedor de recursos que se refere a uma instância do Serviço de Aplicativo. Da mesma forma, você pode usar quaisquer outros provedores de recursos e especificar o escopo. Para obter mais informações, consulte Provedores e tipos de recursos do Azure e operações de provedor de recursos do Azure com suporte.
Substitua {filter} pela condição que você deseja aplicar para filtrar a lista de atribuição de função.
Filtro Descrição $filter=atScope()Lista as atribuições de funções apenas para o escopo definido, não incluindo as atribuições de funções nos subescopos. $filter=assignedTo('{objectId}')Lista as atribuições de função para um utilizador ou entidade de serviço especificada.
Se o usuário for membro de um grupo que tenha uma atribuição de função, essa atribuição de função também será listada. Esse filtro é transitivo para grupos, o que significa que, se o usuário for membro de um grupo e esse grupo for membro de outro grupo que tenha uma atribuição de função, essa atribuição de função também será listada.
Esse filtro só aceita uma ID de objeto para um usuário ou uma entidade de serviço. Não é possível passar uma ID de objeto para um grupo.$filter=atScope()+and+assignedTo('{objectId}')Lista as atribuições de função para o usuário ou entidade de serviço especificada e no escopo especificado. $filter=principalId+eq+'{objectId}'Lista as atribuições de função para um usuário, grupo ou entidade de serviço especificada.
A solicitação a seguir lista todas as atribuições de função para o usuário especificado no escopo da assinatura:
GET https://management.azure.com/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()+and+assignedTo('{objectId1}')
A seguir mostra um exemplo da saída:
{
"value": [
{
"properties": {
"roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"principalId": "{objectId1}",
"principalType": "User",
"scope": "/subscriptions/{subscriptionId1}",
"condition": null,
"conditionVersion": null,
"createdOn": "2022-01-15T21:08:45.4904312Z",
"updatedOn": "2022-01-15T21:08:45.4904312Z",
"createdBy": "{createdByObjectId1}",
"updatedBy": "{updatedByObjectId1}",
"delegatedManagedIdentityResourceId": null,
"description": null
},
"id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
"type": "Microsoft.Authorization/roleAssignments",
"name": "{roleAssignmentId1}"
}
]
}