當我使用服務主體使用 az login 時
例如 az login --service-principal -u “12121” -p “1212” --tenant “12121”
它將顯示它有權訪問的所有訂閱串列,例如
[
{
"cloudName": "AzureCloud",
"homeTenantId": "123",
"id": "215645",
"isDefault": true,
"managedByTenants": [],
"name": "Sub1",
"state": "Enabled",
"tenantId": "123",
"user": {
"name": "123456",
"type": "servicePrincipal"
}
},
{
"cloudName": "AzureCloud",
"homeTenantId": "123",
"id": "rr",
"isDefault": false,
"managedByTenants": [
{
"tenantId": "123"
}
],
"name": "Sub2",
"state": "Enabled",
"tenantId": "123",
"user": {
"name": "123456",
"type": "servicePrincipal"
}
},
...
...
]
在某些子串列中,SPN 具有對訂閱的直接讀取器訪問 (RBAC)。但是對于另一個子(可以說sub2),訪問權限不是直接授予訂閱級別的,而是已授予資源級別的訪問權限。
問題:如何sub2獲取提供給服務主體的訪問權限的所有資源串列?換句話說,我必須找到(列出)服務主體分配給任何/所有資源的訪問權限sub2。
我知道 azure cli 在后臺執行此操作以檢索此資訊。這就是為什么它可以在成功登錄后顯示所有訂閱串列的原因。但我不知道那是什么
是否有任何 cli 命令或圖形 API 來檢索該資訊?
PS:我也不知道分配SPN的范圍或資源
uj5u.com熱心網友回復:
如果要列出特定用戶的角色分配,可以使用az role assignment list命令。
az role assignment list --assignee {assignee}
注意:要查看當前訂閱及以下訂閱的角色分配,請添加--all引數:
az role assignment list --assignee {assignee} --all
如果您已經使用服務主體登錄,則可以省略該--assignee引數
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/329468.html
上一篇:Azure服務總線同步發送訊息