使用 Azure Resource Graph 获取其他用户的资源

Question

我正在尝试使用应用程序 ID 查询用户拥有的所有资源。 我当前的实现是获取我的应用程序有权访问的所有资源，然后查询每个资源的 RBAC 以查看用户是否有权访问。 使用 Azure Resource Graph 为我当前的用户可以完成的事情似乎太多了。 有没有办法使用 Azure Resource Graph 但指定我想要为其获取资源的用户（假设我的应用程序具有对租户中所有资源的读者访问权限）？

Answer 1

从您的描述中，您需要查找的是订阅中的角色分配，其资源类型为Microsoft.Authorization/roleAssignments ，未包含在 Azure 资源图中。

您可以选择使用 REST API - Role Assignments - List ，并使用 Azure AD 中用户的ObjectId进行筛选。 要获取访问令牌以使用 AD App（您提到的 AppId）调用 REST API，您需要使用客户端凭据流，请参阅此链接。

样品：

检查响应中的scope ，它们是用户可以访问的资源。

GET https://management.azure.com/subscriptions/<subscription-id>/providers/Microsoft.Authorization/roleAssignments?$filter=principalId eq '<object-id>'&api-version=2018-09-01-preview