api - 如何使用 RBAC API 获取所有角色分配的列表-6ren

api - 如何使用 RBAC API 获取所有角色分配的列表

转载作者：行者123 更新时间：2023-12-04 15:18:12

27

4

我向以下 API 发出 GET 请求

https://management.azure.com/subscriptions/{{subscriptionId}}/providers/Microsoft.Authorization/roleAssignments?api-version=2017-10-01-preview

这给了我以下响应格式

{
            "properties": {
                "roleDefinitionId": "/subscriptions/5a9c0639-4045-4c23-8418-fc091e8d1e31/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
                "principalId": "fdef6f38-b48f-4358-8482-b243ea935082",
                "principalType": "User",
                "scope": "/subscriptions/5a9c0639-4045-4c23-8418-fc091e8d1e31/resourceGroups/GE-RGrp-Kentico",
                "createdOn": "2017-08-21T11:38:53.7973201Z",
                "updatedOn": "2017-08-21T11:38:53.7973201Z",
                "createdBy": "f418e9e8-becc-41d8-ab47-66a4c50403b5",
                "updatedBy": "f418e9e8-becc-41d8-ab47-66a4c50403b5"
            },
            "id": "/subscriptions/5a9c0639-4045-4c23-8418-fc091e8d1e31/resourceGroups/GE-RGrp-Kentico/providers/Microsoft.Authorization/roleAssignments/5e6caac9-c5fd-42f0-86c6-9e96b127be51",
            "type": "Microsoft.Authorization/roleAssignments",
            "name": "5e6caac9-c5fd-42f0-86c6-9e96b127be51"
        }

但是当我进行 CLI 调用时，我得到以下响应

> az  role assignment list

{
    "id": "/subscriptions/5a9c0639-4045-4c23-8418-fc091e8d1e31/providers/Microsoft.Authorization/roleAssignments/4096c146-b6f8-4f92-a700-a47742a5b321",
    "name": "4096c146-b6f8-4f92-a700-a47742a5b321",
    "properties": {
      "additionalProperties": {
        "createdBy": "c2024d65-cf17-45fd-b34b-09cd5c21cac7",
        "createdOn": "2017-11-07T22:03:12.4998370Z",
        "updatedBy": "c2024d65-cf17-45fd-b34b-09cd5c21cac7",
        "updatedOn": "2017-11-07T22:03:12.4998370Z"
      },
      "principalId": "780925c0-a487-4529-9eb2-837aa67a4d8a",
      "principalName": "<a href="https://stackoverflow.com/cdn-cgi/l/email-protection" class="__cf_email__" data-cfemail="0e766d6f786f606f7e4e696b606b7d677d6b606b7c6977206d61206074" rel="noreferrer noopener nofollow">[email protected]</a>",
      "roleDefinitionId": "/subscriptions/5a9c0639-4045-4c23-8418-fc091e8d1e31/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
      "roleDefinitionName": "Security Admin",
      "scope": "/subscriptions/5a9c0639-4045-4c23-8418-fc091e8d1e31"
    },

上面的回复确实有

"roleDefinitionName": "Security Admin"

但我想通过 API 得到相同的响应，请帮助!!

最佳答案

要获取角色定义名称，您需要进行单独的 REST API 调用，然后在客户端执行联接。

如果在运行 Azure PowerShell 或 Azure CLI 时运行网络捕获，则可以直接看到 REST API 调用。

列出角色分配

GET https://management.azure.com/subscriptions/ {subscriptionId}/providers/Microsoft.Authorization/roleAssignments?api-version=2015-07-01

响应示例:

"value": [
    {
        "properties": {
            "roleDefinitionId": "/subscriptions/<subscriptionId>/providers/Microsoft.Authorization/roleDefinitions/<roleDefinitionId>",
            "principalId": "<principalId>",
            "scope": "/subscriptions/<subscriptionId>",
            "createdOn": "2017-02-03T07:55:59.6345664Z",
            "updatedOn": "2017-02-03T07:55:59.6345664Z",
            "createdBy": "7c728184-cd9e-47ad-b72f-e7ac40b80624",
            "updatedBy": "7c728184-cd9e-47ad-b72f-e7ac40b80624"
        },
        "id": "/subscriptions/<subscriptionId>/providers/Microsoft.Authorization/roleAssignments/ea667734-e984-4726-bf0b-2116aaaedfde",
        "type": "Microsoft.Authorization/roleAssignments",
        "name": "ea667734-e984-4726-bf0b-2116aaaedfde"
    },

列出角色定义

获取 https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions ?$filter=atScopeAndBelow()&api-version=2015-07-01

响应示例:

    {
        "properties": {
            "roleName": "Contributor",
            "type": "BuiltInRole",
            "description": "Lets you manage everything except access to resources.",
            "assignableScopes": [
                "/"
            ],
            "permissions": [
                {
                    "actions": [
                        "*"
                    ],
                    "notActions": [
                        "Microsoft.Authorization/*/Delete",
                        "Microsoft.Authorization/*/Write",
                        "Microsoft.Authorization/elevateAccess/Action"
                    ]
                }
            ],
            "createdOn": "0001-01-01T08:00:00.0000000Z",
            "updatedOn": "2016-12-14T02:04:45.1393855Z",
            "createdBy": null,
            "updatedBy": null
        },
        "id": "/providers/Microsoft.Authorization/roleDefinitions/<roleDefinitionId>",
        "type": "Microsoft.Authorization/roleDefinitions",
        "name": "<roleDefinitionId>"
    },

获取 AAD 对象 - 包括主体名称

POST https://graph.windows.net//getObjectsByObjectIds?api-version=1.6

{
  "objectIds": [
    "<objectId1>",
    "<objectId2>",
    ...
  ],
  "includeDirectoryObjectReferences": true
}

关于api - 如何使用 RBAC API 获取所有角色分配的列表，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/48533897/

27

4

0

文章推荐： java - Gradle 构建忽略 Jetbrains 注释

文章推荐： lambda - Kotlin 扩展 lambda 与常规 lambda

文章推荐： powershell - Service Fabric/Jenkins 集成问题

rbac - RBAC 上的操作和权限的区别
我正在使用基于角色的访问控制(RBAC)开发通用用户管理系统，因为我无法区分操作表和权限表(这是在阅读了这么多文章之后)。 "一个主体可以有多个角色。一个角色可以有多个主体。一个角色可以有多个权限。一
rbac - 在基于角色的访问控制 (RBAC) 中使用 session
我试图了解基于 RBAC 模型的访问控制。我引用了以下链接。 NIST RBAC Data Model 我没有像摘录中提到的那样清楚地理解这部分 - *“每个 session 是一个用户到可能多个角色
php - 有没有办法用 yii\rbac\PhpManager 刷新 Yii2 中缓存的 rbac 项？
Yii2 有 PhpAuthManager 来设置、存储和检查 rbac 项目。它被缓存，在我更改权限后，我可以完全刷新缓存以应用新权限。但我只想用 rbac 项目刷新缓存的一部分，而不是全部。有没有
jenkins - Openshift:用户 "system:serviceaccount::jenkins"无法创建 PV:RBAC:clusterrole.rbac.authorization.k8s.io "create"未找到
Openshift/okd 版本:3.11 我正在使用 openshift 目录中的 jenkins-ephemeral 应用程序并使用 buildconfig 创建管道。引用:https://doc
clusterrolebindings.rbac.authorization.k8s.io is forbidden: User "system:anonymous" cannot create resource "clusterrolebindings"(clusterrolebindings.rbac.authorization.k8s.io被禁止：用户“system:nonymous”无法创建资源“clusterrolebbindings”)
I am getting the below error where i creating the kubernetes cluster on AWS below are the files a
RBAC-基于角色的访问控制
偷偷把RBAC基于角色的访问控制秘籍发出来，不需要自宫~ RBAC-基于角色的访问控制什么是RBAC 概念 RBAC 是基于角色的访问控制（Role-Based Access Control ）在
kubernetes - RBAC:具有多个命名空间的角色
尝试编写我的第一套 RBAC 角色。因此，试图找出为多个命名空间组件分配 2 个角色的最佳方法。管理员角色(3 个命名空间的 RW 表示默认，ns1 和 ns2)用户角色(只读 3 个命名空间，默认
centos - RBAC 授权禁止我分配角色和部署
我正在使用最新版本的 Kubernetes 在 CentOS 7 上运行一个两节点集群。设置后好像什么都做不了这是我想从主服务器创建部署时遇到的错误: Error from server (Forb
Openshift RBAC 策略允许预览环境中的项目访问来自不同项目的图像
我在 Jenkinsx 设置中使用 OKD，jenkinsx 根据开发人员创建的拉取请求动态创建一个项目，并在该项目中部署服务。但是这些项目中的服务因“ImagePullBackOff”错误而失败，
Azure RBAC 权限
有一个用例我正在寻找解决方案。假设我在订阅级别将 RBAC - 所有者角色分配给用户(xxx)。但现在我需要将此权限排除在此订阅下的资源组之一。这可行吗？最佳答案没有。 Azure RBAC 权限
Azure RBAC - 模块化和自定义角色继承
我和我的团队正在处理属于不同团队的数百个订阅。他们中的许多人在安全性、要使用的服务等方面有不同的需求，而我们作为一个中央平台，也确保每个人都使用相同的基线(安全性、监控、自动化等)。我们当然需要处理
Azure RBAC 权限树？
有没有办法查询 Azure(通过 REST 或 CLI)以查看某些操作需要/授予哪些权限？例如，如果我想分配具有 Microsoft.Compute/virtualMachines/write 权限
Azure RBAC 应用程序见解码件贡献者与监视贡献者
我正在尝试了解 Azure RBAC 中这两个角色之间的重叠。看起来除了“Microsoft.Resources/deployments/*”之外，monitor-contributor 完全覆盖了
Azure RBAC 自定义角色
我目前正在尝试制定角色和权利概念。 Azure RBAC 已经有一些内置角色，但我正在尝试创建更多自定义角色。自定义角色是否直接链接到 RBAC？有人对我应该添加哪些角色有任何建议吗？我目前并不熟悉
Azure 部署槽 RBAC
我需要为 Azure WebApp 及其部署槽上的不同用户(或组)提供不同级别的访问权限。如果我仅向用户授予对部署槽的访问权限，他将无法在 Azure 管理门户上看到它。如果我向用户授予对整个网络
kubernetes - 为每个命名空间设置Helm RBAC
我遵循官方Helm documentation的“在 namespace 中部署Tiller，仅限于仅在该 namespace 中部署资源”。这是我的bash脚本: Namespace="$1" ku
Azure RBAC 应用程序见解码件贡献者与监视贡献者
我正在尝试了解 Azure RBAC 中这两个角色之间的重叠。看起来除了“Microsoft.Resources/deployments/*”之外，monitor-contributor 完全覆盖了
Azure RBAC 自定义角色
我目前正在尝试制定角色和权利概念。 Azure RBAC 已经有一些内置角色，但我正在尝试创建更多自定义角色。自定义角色是否直接链接到 RBAC？有人对我应该添加哪些角色有任何建议吗？我目前并不熟悉
Azure 部署槽 RBAC
我需要为 Azure WebApp 及其部署槽上的不同用户(或组)提供不同级别的访问权限。如果我仅向用户授予对部署槽的访问权限，他将无法在 Azure 管理门户上看到它。如果我向用户授予对整个网络
Kubernetes RBAC - 禁止尝试授予额外权限
我正在使用 Kubernetes v1.8.14 定制版 CoreOS簇: $ kubectl version --short Client Version: v1.10.5 Server Versi

首页

博学

6Ren·AI

商城

api - 如何使用 RBAC API 获取所有角色分配的列表