Azure reddetme atamalarını listeleme

Makale
03/12/2024

Rol atamasına benzer şekilde, reddetme ataması da erişimi reddetme amacıyla belirli bir kapsamdaki bir kullanıcı, grup veya hizmet sorumlusuna bir dizi reddetme eylemi ekler. Reddetme atamaları kullanıcıların belirli Azure kaynağı eylemlerini gerçekleştirmesini (rol ataması izin vermiş olsa bile) engeller.

Bu makalede reddetme atamalarının nasıl listelediği açıklanır.

Önemli

Doğrudan kendi reddetme atamalarınızı oluşturamazsınız. Reddetme atamaları Azure tarafından oluşturulur ve yönetilir.

Reddetme atamaları nasıl oluşturulur?

Reddetme atamaları, kaynakları korumak amacıyla Azure tarafından oluşturulur ve yönetilir. Doğrudan kendi reddetme atamalarınızı oluşturamazsınız. Ancak, dağıtım yığını oluştururken reddetme ayarlarını belirtebilirsiniz ve bu da dağıtım yığını kaynaklarına ait bir reddetme ataması oluşturur. Dağıtım yığınları şu anda önizleme aşamasındadır. Daha fazla bilgi için bkz . Yönetilen kaynakları silinmeye karşı koruma.

Rol atamalarını karşılaştırma ve atamaları reddetme

Reddetme atamaları, rol atamalarıyla benzer bir desen izler, ancak bazı farklılıklar da vardır.

Özellik	Rol ataması	Reddetme ataması
Erişim verme	✅
Erişimi engelleme		✅
Doğrudan oluşturulabilir	✅
Bir kapsamda uygulama	✅	✅
Sorumluları dışla		✅
Alt kapsamlara devralmayı engelleme		✅
Klasik abonelik yöneticisi atamalarına uygula		✅

Atama özelliklerini reddet

Reddetme ataması aşağıdaki özelliklere sahiptir:

Özellik	Zorunlu	Türü	Açıklama
`DenyAssignmentName`	Yes	String	Reddetme atamasının görünen adı. Adların belirli bir kapsam için benzersiz olması gerekir.
`Description`	Hayır	String	Reddetme atamasının açıklaması.
`Permissions.Actions`	En az bir Eylem veya bir DataActions	Dize[]	Reddetme atamasının erişimi engellediği denetim düzlemi eylemlerini belirten dize dizisi.
`Permissions.NotActions`	Hayır	Dize[]	Reddetme atamasının dışında tutulacak denetim düzlemi eylemini belirten dize dizisi.
`Permissions.DataActions`	En az bir Eylem veya bir DataActions	Dize[]	Reddetme atamasının erişimi engellediği veri düzlemi eylemlerini belirten dize dizisi.
`Permissions.NotDataActions`	Hayır	Dize[]	Reddetme atamasının dışında tutulacak veri düzlemi eylemlerini belirten dize dizisi.
`Scope`	Hayır	String	Reddetme atamasının uygulanacağı kapsamı belirten bir dize.
`DoNotApplyToChildScopes`	Hayır	Boolean	Reddetme atamasının alt kapsamlara uygulanıp uygulanmayacağını belirtir. Varsayılan değer yanlış'tır.
`Principals[i].Id`	Yes	Dize[]	Reddetme atamasının geçerli olduğu bir Microsoft Entra asıl nesne kimlikleri dizisi (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik). Tüm sorumluları temsil etmek için boş bir GUID `00000000-0000-0000-0000-000000000000` olarak ayarlayın.
`Principals[i].Type`	Hayır	Dize[]	Principals[i].Id tarafından temsil edilen nesne türleri dizisi. Tüm sorumluları temsil etmek için olarak `SystemDefined` ayarlayın.
`ExcludePrincipals[i].Id`	Hayır	Dize[]	Reddetme atamasının uygulanmadığı bir Microsoft Entra asıl nesne kimlikleri dizisi (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik).
`ExcludePrincipals[i].Type`	Hayır	Dize[]	ExcludePrincipals[i].Id tarafından temsil edilen nesne türleri dizisi.
`IsSystemProtected`	Hayır	Boolean	Bu reddetme atamanın Azure tarafından oluşturulup oluşturulmadığını ve düzenlenemeyeceğini veya silinemeyeceğini belirtir. Şu anda tüm reddetme atamaları sistem korumalıdır.

Tüm Sorumlular sorumlusu

Reddetme atamalarını desteklemek için Tüm Sorumlular adlı sistem tanımlı bir sorumlu kullanıma sunulmuştur. Bu sorumlu, bir Microsoft Entra dizinindeki tüm kullanıcıları, grupları, hizmet sorumlularını ve yönetilen kimlikleri temsil eder. Asıl kimlik sıfır GUID 00000000-0000-0000-0000-000000000000 ise ve asıl tür ise SystemDefined, sorumlu tüm sorumluları temsil eder. Azure PowerShell çıkışında Tüm Sorumlular aşağıdaki gibi görünür:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Bazı kullanıcılar dışındaki tüm sorumluları reddetmek için tüm Sorumlular ile ExcludePrincipals birleştirilebilir. Tüm Sorumlular aşağıdaki kısıtlamalara sahiptir:

Yalnızca içinde Principals kullanılabilir ve içinde ExcludePrincipalskullanılamaz.
Principals[i].Type olarak ayarlanmalıdır SystemDefined.

Ret atamalarını listeleme

Reddetme atamalarını listelemek için bu adımları izleyin.

Önemli

Doğrudan kendi reddetme atamalarınızı oluşturamazsınız. Reddetme atamaları Azure tarafından oluşturulur ve yönetilir. Daha fazla bilgi için bkz . Yönetilen kaynakları silinmeye karşı koruma.

Önkoşullar

Reddetme ataması hakkında bilgi almak için aşağıdakilere sahip olmanız gerekir:

Microsoft.Authorization/denyAssignments/readazure yerleşik rollerinin çoğuna dahil edilen izin.

Azure portalında reddetme atamalarını listeleme

Abonelik veya yönetim grubu kapsamında reddetme atamalarını listelemek için bu adımları izleyin.

Azure portalında, kaynak grubu veya abonelik gibi seçili kapsamı açın.
Erişim denetimi (IAM) öğesini seçin.
Atamaları reddet sekmesini seçin (veya Reddetme atamalarını görüntüle kutucuğundaki Görünüm düğmesini seçin).

Bu kapsamda veya bu kapsamda devralınan reddetme atamaları varsa, bunlar listelenir.

Ek sütunları görüntülemek için Sütunları Düzenle'yi seçin.

Sütun	Veri Akışı Açıklaması
Adı	Reddetme atamasının adı.
Asıl tür	Kullanıcı, grup, sistem tanımlı grup veya hizmet sorumlusu.
Redd -edildi	Reddetme atamasına dahil edilen güvenlik sorumlusunun adı.
Kimlik	Reddetme ataması için benzersiz tanımlayıcı.
Dışlanan sorumlular	Reddetme atamasının dışında tutulan güvenlik sorumluları olup olmadığı.
Çocuklar için geçerli değildir	Reddetme atamasının alt kapsamlara devralınıp devralınmadığı.
Sistem korumalı	Reddetme atamasının Azure tarafından yönetilip yönetilmediği. Şu anda her zaman Evet.
Scope	Yönetim grubu, abonelik, kaynak grubu veya kaynak.

Etkin öğelerden herhangi birine onay işareti ekleyin ve ardından seçili sütunları görüntülemek için Tamam'ı seçin.

Reddetme ataması hakkındaki ayrıntıları listeleme

Reddetme ataması hakkında ek ayrıntıları listelemek için bu adımları izleyin.

Önceki bölümde açıklandığı gibi Atamaları reddet bölmesini açın.

Kullanıcılar sayfasını açmak için reddetme ataması adını seçin.

Kullanıcılar sayfası aşağıdaki iki bölümü içerir.

Reddetme ayarı	Açıklama
Reddetme ataması şunlar için geçerlidir:	Reddetme atamasının uygulandığı güvenlik sorumluları.
Atamayı reddet dışlar	Reddetme atamasının dışında tutulan güvenlik sorumluları.

Sistem Tanımlı Sorumlu bir Azure AD dizinindeki tüm kullanıcıları, grupları, hizmet sorumlularını ve yönetilen kimlikleri temsil eder.

Reddedilen izinlerin listesini görmek için Reddedilen İzinler'i seçin.

Eylem türü	Açıklama
Eylemler	Kontrol düzlemi eylemleri reddedildi.
NotActions	Kontrol düzlemi eylemleri reddedilen kontrol düzlemi eylemlerinden dışlanır.
DataActions	Veri düzlemi eylemleri reddedildi.
NotDataActions	Reddedilen veri düzlemi eylemlerinin dışında tutulan veri düzlemi eylemleri.

Önceki ekran görüntüsünde gösterilen örnek için geçerli izinler şunlardır:

İşlem eylemleri dışında veri düzlemi üzerindeki tüm depolama eylemleri reddedilir.

Reddetme atamasının özelliklerini görmek için Özellikler'i seçin.

Özellikler sayfasında reddetme ataması adını, kimliğini, açıklamasını ve kapsamını görebilirsiniz. Alt öğelere uygulanmaz anahtarı, reddetme atamasının alt kapsamlara devralınıp devralınmadığını gösterir. Sistem korumalı anahtar, bu reddetme atamasının Azure tarafından yönetilip yönetilmediğini gösterir. Şu anda bu, her durumda Evet'tir.

Önkoşullar

Reddetme ataması hakkında bilgi almak için aşağıdakilere sahip olmanız gerekir:

Microsoft.Authorization/denyAssignments/read azure yerleşik rollerinin çoğuna dahil edilen izin
Azure Cloud Shell veya Azure PowerShell'de PowerShell

Tüm reddetme atamalarını listeleme

Geçerli aboneliğin tüm reddetme atamalarını listelemek için Get-AzDenyAssignment komutunu kullanın.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Kaynak grubu kapsamında reddetme atamalarını listeleme

Bir kaynak grubu kapsamındaki tüm reddetme atamalarını listelemek için Get-AzDenyAssignment kullanın.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Abonelik kapsamındaki reddetme atamalarını listeleme

Abonelik kapsamındaki tüm reddetme atamalarını listelemek için Get-AzDenyAssignment komutunu kullanın. Abonelik kimliğini almak için azure portalındaki Abonelikler sayfasında bulabilir veya Get-AzSubscription kullanabilirsiniz.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

Önkoşullar

Reddetme ataması hakkında bilgi almak için aşağıdakilere sahip olmanız gerekir:

Microsoft.Authorization/denyAssignments/readazure yerleşik rollerinin çoğuna dahil edilen izin.

Aşağıdaki sürümü kullanmanız gerekir:

2018-07-01-preview veya üzeri
2022-04-01 ilk kararlı sürümdür

Tek bir reddetme ataması listeleme

Tek bir reddetme atamasını listelemek için Reddetme Atamaları - REST API'sini al'ı kullanın.

Aşağıdaki istekle başlayın:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01

URI'nin içinde {scope} öğesini reddetme atamalarını listelemek istediğiniz kapsamla değiştirin.

Kapsam	Tür
`subscriptions/{subscriptionId}`	Abonelik
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Kaynak grubu
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Kaynak

{deny-assignment-id} değerini almak istediğiniz reddetme atama tanımlayıcısıyla değiştirin.

Birden çok reddetme ataması listeleme

Birden çok reddetme atamasını listelemek için Atamaları Reddet - Liste REST API'sini kullanın.

Aşağıdaki isteklerden biriyle başlayın:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01

İsteğe bağlı parametrelerle:

GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

URI'nin içinde {scope} öğesini reddetme atamalarını listelemek istediğiniz kapsamla değiştirin.

Kapsam	Tür
`subscriptions/{subscriptionId}`	Abonelik
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1`	Kaynak grubu
`subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1`	Kaynak

{filter} öğesini reddetme atama listesine filtre uygulamak istediğiniz koşulla değiştirin.

Filtre	Açıklama
(filtre yok)	Belirtilen kapsamın üstündeki, üstündeki ve altındaki tüm reddetme atamalarını listeler.
`$filter=atScope()`	Yalnızca belirtilen kapsam ve üzeri için atamaları reddeden listeler. Alt kapsamlarda reddetme atamalarını içermez.
`$filter=assignedTo('{objectId}')`	Belirtilen kullanıcı veya hizmet sorumlusu için reddetme atamalarını listeler. Kullanıcı reddetme ataması olan bir grubun üyesiyse, bu reddetme ataması da listelenir. Bu filtre gruplar için geçişli bir filtredir; bu, kullanıcı bir grubun üyesiyse ve bu grup reddetme ataması olan başka bir grubun üyesiyse, reddetme atamasının da listelendiği anlamına gelir. Bu filtre yalnızca bir kullanıcı veya hizmet sorumlusu için nesne kimliğini kabul eder. Grup için nesne kimliği geçiremezsiniz.
`$filter=atScope()+and+assignedTo('{objectId}')`	Belirtilen kullanıcı veya hizmet sorumlusu için ve belirtilen kapsamdaki atamaları reddeden listeler.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Belirtilen ada sahip reddetme atamalarını listeler.
`$filter=principalId+eq+'{objectId}'`	Belirtilen kullanıcı, grup veya hizmet sorumlusu için reddetme atamalarını listeler.

Kök kapsamda reddetme atamalarını listeleme (/)

Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için erişimi yükseltme bölümünde açıklandığı gibi erişiminizi yükseltin.

Aşağıdaki isteği kullanın:

GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}

{filter} öğesini reddetme atama listesine filtre uygulamak istediğiniz koşulla değiştirin. Bir filtre gereklidir.

Filtre	Açıklama
`$filter=atScope()`	Yalnızca kök kapsam için reddetme atamalarını listeleyin. Alt kapsamlarda reddetme atamalarını içermez.
`$filter=denyAssignmentName+eq+'{deny-assignment-name}'`	Belirtilen ada sahip reddetme atamalarını listeleyin.

Yükseltilmiş erişimi kaldırın.

Sonraki adımlar

Dağıtım yığınları

Aracılığıyla paylaş

Azure reddetme atamalarını listeleme

Reddetme atamaları nasıl oluşturulur?

Rol atamalarını karşılaştırma ve atamaları reddetme

Atama özelliklerini reddet

Tüm Sorumlular sorumlusu

Ret atamalarını listeleme

Önkoşullar

Azure portalında reddetme atamalarını listeleme

Reddetme ataması hakkındaki ayrıntıları listeleme

Önkoşullar

Tüm reddetme atamalarını listeleme

Kaynak grubu kapsamında reddetme atamalarını listeleme

Abonelik kapsamındaki reddetme atamalarını listeleme

Önkoşullar

Tek bir reddetme ataması listeleme

Birden çok reddetme ataması listeleme

Kök kapsamda reddetme atamalarını listeleme (/)

Sonraki adımlar

Geri Bildirim

Ek kaynaklar