用户访问查看 Microsoft Azure 中的自定义报告

Posted

技术标签:

【中文标题】用户访问查看 Microsoft Azure 中的自定义报告【英文标题】:User Access Review custom report in Microsoft Azure 【发布时间】:2021-07-17 00:32:25 【问题描述】:

有没有一种方法可以获取当前分配给订阅下创建的每个资源的权限的所有用户。

换句话说,我想遍历订阅下创建的所有资源并获取所有用户、服务主体名称、SG、AAD 组的列表,以及他们有权访问每个资源的角色。此报告将帮助我执行定期用户访问审查。

任何线索/代码将不胜感激。

【问题讨论】:

【参考方案1】:

您可以简单地使用 powershell 命令Get-AzRoleAssignment 来获得它。

没有任何参数,Get-AzRoleAssignment 将获得订阅中的所有角色分配,您还可以利用不同的参数,例如-ObjectId-Scope 列出对特定用户/服务主体/安全组的分配,或列出对特定资源组或资源的分配。

更多详情请见https://docs.microsoft.com/en-us/azure/role-based-access-control/role-assignments-list-powershell

同样的事情也可以通过REST API、Azure CLI和不同语言的SDK实现。

【讨论】:

谢谢,这有帮助,但它缺少“继承”权限。例如。如果我查看存储帐户权限 - 这给出了“直接”分配权限的列表,但不是通过资源组级别或订阅级别“继承”范围的权限列表。有什么方法可以列出这些吗?

以上是关于用户访问查看 Microsoft Azure 中的自定义报告的主要内容,如果未能解决你的问题,请参考以下文章

如何在没有 microsoft azure 用户的情况下使用 swift 获取访问令牌?

如何公开访问 Microsoft Azure 存储服务中的对象?

使用 Angular 8 中的 MSAL 库获取 Microsoft Azure AD 组名称列表

如何请求访问 Azure DevOps 中的项目?

查看本地SPT上传到Microsoft Azure临时存储区是否成功的方法

是否有用于访问 Azure DevOps 仪表板中的小部件配置设置的键盘快捷方式?