使用 Azure 门户列出 Azure 角色分配

  • 项目

Azure 基于角色的访问控制 (Azure RBAC) 是用于管理 Azure 资源访问权限的授权系统。 若要确定用户、组、服务主体或托管标识有权访问的资源,请列出其角色分配。 本文介绍如何使用 Azure 门户列出角色分配。

注意

如果你的组织已将管理功能外包给使用 Azure Lighthouse 的服务提供商,则此处将不会显示该服务提供商授权的角色分配。 同样,服务提供商租户中的用户将看不到客户租户中用户的角色分配,无论为其分配的角色是什么样的。

列出用户或组的角色分配

若要查看分配给订阅中用户或组的角色,一种快速方法是使用“Azure 角色分配”窗格。

  1. 在 Azure 门户的“Azure 门户”菜单中,选择“所有服务”。

  2. 选择“Microsoft Entra ID”,然后选择“用户”或“组”

  3. 单击要列出其角色分配的用户或组。

  4. 单击“Azure 角色分配”。

    随即将显示各种范围中分配给所选用户或组的角色列表,如管理组、订阅、资源组或资源。 此列表包括你有权读取的所有角色分配。

    Screenshot of role assignments for a user.

  5. 要更改订阅,请单击“订阅”列表。

列出订阅的所有者

已分配订阅的所有者角色的用户可以管理订阅中的所有内容。 按照以下步骤列出订阅的所有者。

  1. 在 Azure 门户中,依次单击“所有服务”、“订阅” 。

  2. 单击要列出其所有者的订阅。

  3. 单击“访问控制(IAM)”。

  4. 单击“角色分配”选项卡以查看此订阅的所有角色分配。

  5. 滚动到“所有者”部分,以查看已分配此订阅的“所有者”角色的所有用户。

    Screenshot of subscription Access control and Role assignments tab.

列出或管理特权管理员角色分配

在“角色分配”选项卡上,可以列出并查看当前范围内的特权管理员角色分配计数。 有关详细信息,请参阅特权管理员角色

  1. 在 Azure 门户中单击“所有服务”,然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。

  2. 单击特定的资源。

  3. 单击“访问控制(IAM)”。

  4. 单击“角色分配”选项卡,然后单击“特权”选项卡,列出此范围内的特权管理员角色分配。

    Screenshot of Access control page, Role assignments tab, and Privileged tab showing privileged role assignments.

  5. 若要查看此范围内的特权管理员角色分配计数,请查看“特权”卡。

  6. 若要管理特权管理员角色分配,请参阅“特权”卡,然后单击“查看分配”。

    在“管理特权角色分配”页上,可以添加条件来限制特权角色分配或移除角色分配。

    Screenshot of Manage privileged role assignments page showing how to add conditions or remove role assignments.

列出某个范围内的角色分配

  1. 在 Azure 门户中单击“所有服务”,然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。

  2. 单击特定的资源。

  3. 单击“访问控制(IAM)”。

  4. 单击“角色分配”选项卡以查看在此范围内的所有角色分配。

    Screenshot of Access control and Role assignments tab.

    在“角色分配”选项卡上,可以看到谁有权访问此范围。 请注意,有些角色的权限范围已划归到此资源,还有一些角色是从另一范围 (继承的) 。 访问权限可以专门分配给此资源,也可以从父作用域的分配继承。

列出某个范围内某个角色的角色分配

若要列出某个用户、组、服务主体或托管标识的访问权限,请列出其角色分配。 按照以下步骤列出特定范围内单个用户、组、服务主体或托管标识的角色分配。

  1. 在 Azure 门户中单击“所有服务”,然后选择范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。

  2. 单击特定的资源。

  3. 单击“访问控制(IAM)”。

    Screenshot of resource group access control and Check access tab.

  4. 在“检查访问权限”选项卡上,单击“检查访问权限”按钮。

  5. 在“检查访问权限”窗格中,单击“用户、组或服务主体”或“托管标识”。

  6. 在搜索框中,输入字符串以在目录中搜索显示名称、电子邮件地址或对象标识符。

    Screenshot of Check access select list.

  7. 单击安全主体以打开“分配”窗格。

    在此窗格上,可以查看在此范围和继承到此范围的所选安全主体的访问权限。 未列出在子范围的分配。 你会看到以下分配:

    • 通过 Azure RBAC 添加的角色分配。
    • 使用 Azure 蓝图或 Azure 托管应用添加的拒绝分配。
    • 经典部署的经典服务管理员或共同管理员分配。

    Screenshot of assignments pane.

列出托管标识的角色分配

如之前所述,可以通过使用“访问控制(IAM)”边栏选项卡来列出特定范围内系统分配的托管标识和用户分配的托管标识的角色分配。 本部分介绍如何列出仅托管标识的角色分配。

系统分配的托管标识

  1. 在 Azure 门户中,打开系统分配的托管标识。

  2. 在左侧菜单中,单击“标识”。

    Screenshot of system-assigned managed identity.

  3. 在“权限”下,单击“Azure 角色分配” 。

    随即将显示各种范围中分配给所选系统分配的托管标识的角色列表,如管理组、订阅、资源组或资源。 此列表包括你有权读取的所有角色分配。

    Screenshot of role assignments for a system-assigned managed identity.

  4. 若要更改订阅,请单击“订阅”列表。

用户分配的托管标识

  1. 在 Azure 门户中,打开用户分配的托管标识。

  2. 单击“Azure 角色分配”。

    随即将显示各种范围中分配给所选角色分配的托管标识的角色列表,如管理组、订阅、资源组或资源。 此列表包括你有权读取的所有角色分配。

    Screenshot of role assignments for a user-assigned managed identity.

  3. 若要更改订阅,请单击“订阅”列表。

列出角色分配数

每个订阅中最多可以有 4000 个角色分配。 此限制包括订阅、资源组和资源范围内的角色分配。 为了帮助你跟踪此限制,“角色分配”选项卡包含一个图表,其中列出了当前订阅的角色分配数。

Screenshot of Access control and number of role assignments chart.

如果在快要到达最大数量时尝试添加更多角色分配,则会在“添加角色分配”窗格中看到一条警告。

Screenshot of Access control and Add role assignment warning.

下载角色分配

可以使用 CSV 或 JSON 格式下载某一范围内的角色分配。 如果你在迁移订阅时需要检查电子表格中的列表或进行清点,这会很有帮助。

下载角色分配时,应记住以下条件:

  • 如果你没有读取目录的权限,Directory Readers 角色、DisplayName、SignInName 和 ObjectType 等列将为空。
  • 未包含已删除了安全主体的角色分配。
  • 未包含已授予给经典管理员的访问权限。

按照以下步骤下载某一范围内的角色分配。

  1. 在 Azure 门户中,单击“所有服务”,然后选择要下载角色分配的范围。 例如,可以选择“管理组”、“订阅”、“资源组”或某个资源 。

  2. 单击特定的资源。

  3. 单击“访问控制(IAM)”。

  4. 单击“下载角色分配”以打开“下载角色分配”窗格。

    Screenshot of Access control and Download role assignments.

  5. 使用这些复选框来选择要包含在下载文件中的角色分配。

    • 继承 - 包含当前范围的继承角色分配。
    • 当前范围 - 包含当前范围的角色分配。
    • 子级 - 包含当前范围下各级别的角色分配。 对于管理组范围,此复选框处于禁用状态。

  6. 选择文件格式,可以是逗号分隔值 (CSV) 或 JavaScript 对象表示法 (JSON)。

  7. 指定文件名称。

  8. 单击“开始”以开始下载。

    下面展示了每个文件格式的输出示例。

    Screenshot of download role assignments as CSV.

    Screenshot of the downloaded role assignments as in JSON format.

后续步骤