为基于角色的访问控制创建访问报告

无论何时授予或撤销订阅中的访问权限,更改都会记录在 Azure 事件中。 可创建访问权限更改历史记录报告来查看过去 90 天的所有更改。

使用 Azure PowerShell 创建报告

若要在 PowerShell 中创建访问权限更改历史记录报告,请使用 Get-AzureRMAuthorizationChangeLog 命令。

调用此命令时,可指定要列出的分配的属性,包括以下方面:

属性 说明
操作 是授予还是撤销访问权限
调用方 负责访问权限更改的所有者
PrincipalId 已分配了角色的用户、组或应用程序的唯一标识符
PrincipalName 用户、组或应用程序的名称
PrincipalType 分配是针对用户、组还是应用程序
RoleDefinitionId 已授予或已撤销角色的 GUID
RoleName 已授予或已撤销的角色
范围 分配应用到的订阅、资源组或资源的唯一标识符
ScopeName 订阅、资源组或资源的名称
ScopeType 分配是在订阅、资源组中还是在资源范围内
Timestamp 访问权限更改的日期和时间

此示例命令列出过去 7 天内订阅中所有访问权限的更改:

Get-AzureRMAuthorizationChangeLog -StartTime ([DateTime]::Now - [TimeSpan]::FromDays(7)) | FT Caller,Action,RoleName,PrincipalType,PrincipalName,ScopeType,ScopeName

PowerShell Get-AzureRMAuthorizationChangeLog - 屏幕快照

使用 Azure CLI 创建报告

若要在 Azure 命令行界面 (CLI) 中创建访问权限更改历史记录报告,请使用 azure role assignment changelog list 命令。

导出到电子表格

要保存报告或处理数据,请将访问权限更改导出至 .csv 文件。 可在电子表格中查看该报告以进行审阅。

更改日志被视为电子表格 - 屏幕快照

后续步骤