Использование PowerShell для запроса назначений Azure RBAC

Опубликовано: 28 Февраля, 2023
Использование PowerShell для запроса назначений Azure RBAC

Администраторы Azure знают о важности обеспечения контроля доступа на основе ролей (RBAC), поэтому может быть полезно найти простой способ следить за разрешениями для конкретных пользователей. Конечно, вы можете проверить блейды управления идентификацией и доступом (IAM), доступные в ваших группах ресурсов и подписках, но для крупных организаций это может занять время. Позвольте PowerShell сделать всю тяжелую работу и запросить ваши назначения RBAC за вас.

Этот элегантный совет по PowerShell исходит от защитника облачных технологий Microsoft Сони Кафф. Соня говорит, что эти примеры были запущены в Cloud Shell на портале Azure «для простоты».

В этом совете вы будете использовать команду Get-AzRoleAssignment. Соня отмечает, что этот командлет «собирается запросить у Azure некоторую информацию и вернуть нам результаты».

Одно предостережение: Соня говорит, что если у вас есть несколько подписок Azure, «Cloud Shell по умолчанию будет использовать одну из них, и ваши команды будут запрашивать эту подписку и связанные с ней ресурсы». Если это так, просто запустите эту команду, чтобы перейти к подписке, которую вы хотите запросить:

Set-AzContext -SubscriptionName "My other subscription"

Поскольку вы ищете назначения RBAC для конкретного пользователя, вам придется добавить некоторые параметры в командлет PowerShell. В этом примере мы добавляем SignInName конкретного пользователя, которым в данном случае является [email protected]

Вот команда:

Get-AzRoleAssignment -SignInName [email protected]

А вот результат, отображаемый PowerShell:

Изображение 156
Майкрософт

Там много информации — может быть, слишком много информации! Но у Сони есть решение. Этот изящный командлет предоставит вам нужную информацию в более удобном для чтения формате.

Get-AzRoleAssignment -SignInName [email protected] | FL DisplayName, RoleDefinitionName, Scope

И вот как это будет выглядеть:

Изображение 157
Майкрософт

Кстати, «FL» в приведенной выше команде — это просто сокращенная форма списка форматов параметров PowerShell.

У Microsoft гораздо больше информации о команде Get-AzRoleAssignment и ее различных параметрах в Microsoft Docs. Вы можете найти это здесь.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023