資訊安全筆記：盤點 Azure 訂用帳戶與角色指派的方法

在 Azure 所有 使用者 (User) 與 服務 (Service) 都代表著一個 主體 (Principal)，而 Azure 的 RBAC (以角色為主的存取控制) 主要就是針對 主體 (Principal) 來進行角色指派 (授權)，因此我們可以對 使用者主體 (User Principal) 或 服務主體 (Service Principal) 設定在不同資源所擁有的角色。本篇文章我打算來分享幾個方法，教你如何在特定 訂用帳戶 (Subscription) 下查出有哪些主體被設定了哪些角色，以及特定主體已經被授權到了哪些訂用帳戶、哪些資源的哪些角色，藉此用來盤點是否有不當授權的狀況。

使用 Azure CLI 的準備工作

1. 安裝 Azure CLI 命令列工具

2. 清空帳戶快取資料 (🔥 重要 🔥)

   az account clear
   

   檢查角色指派必須要確認清除本機 Azure CLI 的所有快取資料，否則取得的訂用帳戶可能有權限不足的問題。

3. 登入 Azure CLI

   $tenantId = '4b972557-b992-4f77-b743-41f0d251f741'
   az login --tenant $tenantId
   

   請務必指定 tenantId，一次針對一個 Tenant (租戶) 進行管理是比較建議的用法！

   想知道你目前登入的使用者帳戶加入了哪幾個 Tenants 可以用以下命令查詢 (只能查到 TenantId 而已)：

   az account tenant list
   

   因為 az account tenant list 太弱了，可以查出的資訊太少，建議直接呼叫 Graph API 取得完整的 Tenants 清單：

   az rest --method get --url https://management.azure.com/tenants?api-version=2021-01-01 --query 'value' -o json
   

   想知道你目前登入了哪個使用者帳戶，可以用以下命令查詢：

   az ad signed-in-user show -o json
   az ad signed-in-user show --query 'userPrincipalName' -o tsv
   

   若想查詢目前選用 Tenant 的網域名稱，可以考慮以下任何一種命令：

   (az ad signed-in-user show --query 'userPrincipalName' -o tsv).Split('@')[1]
   
   az rest --method get --url https://graph.microsoft.com/v1.0/domains --query 'value[?isDefault].id'
   

4. 切換 訂用帳戶 (Subscription)

   az account set --subscription 'SubscriptionId'
   

   你也可以使用 az account show 取得當前選取的 id 屬性：

   az account show -o json
   

5. 取得所有 訂用帳戶 (Subscription) 清單

   如果你在執行 az login 登入時有加上 --tenant 參數，那麼這裡只會列出單一租戶下的訂用帳戶而已！

   az account list
   

   你也可以使用以下 JMESPath 查詢語法篩選出特定 tenantId 的訂用帳戶

   $tenantId = '4b972557-b992-4f77-b743-41f0d251f741'
   az account list --query "[?tenantId=='${tenantId}']" -o json
   

   你也可以使用以下命令，查詢目前指定 Tenant 下的所有訂用帳戶清單

   az account subscription list
   

使用 Azure Az PowerShell 的準備工作

1. 安裝 Az 模組

   Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
   

2. 匯入所有 Az 模組

   Import-Module Az
   

   這個步驟會匯入一堆 Az. 開頭的 PowerShell 模組

   Get-Module 'Az*'
   

   ModuleType Version    PreRelease Name
   ---------- -------    ---------- ----
   Script     7.0.0                 Az
   Script     2.7.0                 Az.Accounts
   Script     1.1.2                 Az.Advisor
   Script     3.0.0                 Az.Aks
   Script     1.1.4                 Az.AnalysisServices
   Script     2.3.1                 Az.ApiManagement
   Script     1.0.0                 Az.AppConfiguration
   Script     1.3.0                 Az.ApplicationInsights
   Script     1.0.0                 Az.Attestation
   Script     1.7.2                 Az.Automation
   Script     3.1.1                 Az.Batch
   Script     2.0.0                 Az.Billing
   Script     1.8.1                 Az.Cdn
   Script     1.0.0                 Az.CloudService
   Script     1.9.0                 Az.CognitiveServices
   Script     4.21.0                Az.Compute
   Script     3.0.0                 Az.ContainerInstance
   Script     2.2.3                 Az.ContainerRegistry
   Script     1.5.0                 Az.CosmosDB
   Script     1.1.0                 Az.DataBoxEdge
   Script     1.1.0                 Az.Databricks
   Script     1.16.1                Az.DataFactory
   Script     1.0.2                 Az.DataLakeAnalytics
   Script     1.3.0                 Az.DataLakeStore
   Script     1.0.0                 Az.DataShare
   Script     1.1.0                 Az.DeploymentManager
   Script     3.1.0                 Az.DesktopVirtualization
   Script     1.0.2                 Az.DevTestLabs
   Script     1.1.2                 Az.Dns
   Script     1.3.0                 Az.EventGrid
   Script     1.9.1                 Az.EventHub
   Script     1.9.0                 Az.FrontDoor
   Script     4.0.0                 Az.Functions
   Script     5.0.0                 Az.HDInsight
   Script     1.3.1                 Az.HealthcareApis
   Script     2.7.4                 Az.IotHub
   Script     4.1.0                 Az.KeyVault
   Script     2.0.0                 Az.Kusto
   Script     1.5.0                 Az.LogicApp
   Script     1.1.3                 Az.MachineLearning
   Script     1.2.0                 Az.Maintenance
   Script     3.0.0                 Az.ManagedServices
   Script     1.0.2                 Az.MarketplaceOrdering
   Script     1.1.1                 Az.Media
   Script     1.1.2                 Az.Migrate
   Script     3.0.0                 Az.Monitor
   Script     4.13.0                Az.Network
   Script     1.1.1                 Az.NotificationHubs
   Script     3.0.0                 Az.OperationalInsights
   Script     1.4.1                 Az.PolicyInsights
   Script     1.1.2                 Az.PowerBIEmbedded
   Script     1.0.3                 Az.PrivateDns
   Script     5.0.0                 Az.RecoveryServices
   Script     1.5.1                 Az.RedisCache
   Script     1.0.0                 Az.RedisEnterpriseCache
   Script     1.0.3                 Az.Relay
   Script     1.0.0                 Az.ResourceMover
   Script     5.1.0                 Az.Resources
   Script     1.1.1                 Az.Security
   Script     1.1.0                 Az.SecurityInsights
   Script     1.6.0                 Az.ServiceBus
   Script     3.0.1                 Az.ServiceFabric
   Script     1.4.0                 Az.SignalR
   Script     3.6.0                 Az.Sql
   Script     1.1.0                 Az.SqlVirtualMachine
   Script     1.0.0                 Az.StackHCI
   Script     4.1.0                 Az.Storage
   Script     1.6.1                 Az.StorageSync
   Script     2.0.0                 Az.StreamAnalytics
   Script     1.0.0                 Az.Support
   Script     1.0.4                 Az.TrafficManager
   Script     2.9.0                 Az.Websites
   

3. 登出 Azure 帳戶

   Logout-AzAccount
   

4. 連接 Azure 帳戶

   $tenantId = '4b972557-b992-4f77-b743-41f0d251f741'
   Connect-AzAccount -Tenant $tenantId
   

   想知道你目前登入的使用者帳戶加入了哪幾個 Tenants 可以用以下命令查詢 (可以查到相當完整的資訊)：

   Get-AzTenant
   

5. 取得所有 訂用帳戶 (Subscription) 清單

   即便你在連接 Azure 帳戶時有加上 -Tenant 參數，這裡依然會列出你的登入帳號中隸屬的所有租戶下的所有訂用帳戶喔！

   Get-AzSubscription
   

   建議使用 -TenantId 參數篩選出特定 tenantId 的訂用帳戶

   $tenantId = '4b972557-b992-4f77-b743-41f0d251f741'
   Get-AzSubscription -TenantId $tenantId
   

盤點一個 訂用帳戶 (Subscription) 下有多少 角色指派 (Role Assignments)

• 透過 Azure Portal 查詢

  進入 訂用帳戶 (Subscription) 的 Access Control (IAM) 就可以查詢到該訂用帳戶下所有的角色指派！

  這裡要注意 Scope 欄位，從該欄位可以看出這個角色被套用在哪個範圍，可能是 Root, Subscription, Resource Group 或 Resource 等等。

• 透過 Azure CLI 查詢

  列出所有角色授權清單 (包含所有服務主體在內)

  az role assignment list
  

  列出所有角色授權清單 (包含繼承的主體)

  az role assignment list --include-inherited
  

  列出所有角色授權清單 (包含繼承的主體與傳統管理員)

  az role assignment list --include-inherited --include-classic-administrators
  

  列出所有角色授權清單 (包含繼承的主體、傳統管理員與資源群組的角色授權)

  az role assignment list --include-inherited --include-classic-administrators --include-groups
  

  列出所有角色授權清單 (包含繼承的主體、傳統管理員、資源群組與所有資源的角色授權)

  az role assignment list --include-inherited --include-classic-administrators --include-groups --all
  

  列出所有角色指派清單中無法找到的主體的無效項目

  az role assignment list --include-groups --all
  

• Azure Az PowerShell

  列出所有角色授權清單 (包含繼承的主體、資源群組與所有資源的角色授權)

  $subscriptionId = '95970ee4-4d92-4f5f-b253-395c986c5fca'
  Get-AzRoleAssignment -Scope "/subscriptions/${subscriptionId}" -WarningAction Ignore
  

  列出所有角色授權清單 (包含繼承的主體、資源群組、所有資源與傳統管理員的角色授權)

  $subscriptionId = '95970ee4-4d92-4f5f-b253-395c986c5fca'
  Get-AzRoleAssignment -Scope "/subscriptions/${subscriptionId}" -IncludeClassicAdministrators -WarningAction Ignore
  

  列出所有角色指派清單中無法找到的主體的無效項目

  $subscriptionId = '95970ee4-4d92-4f5f-b253-395c986c5fca'
  Get-AzRoleAssignment -Scope "/subscriptions/${subscriptionId}" -WarningAction Ignore | Where-Object { $_.DisplayName -eq $null }
  

盤點一個 使用者主體 (User Principal) 有多少 角色指派 (Role Assignments)

• 透過 Azure Portal 查詢

  進入 Azure Active Directory > Users > 選取使用者 > Azure role assignments 之後，這裡有個下拉選單可以讓你切換不同的訂用帳戶，此時你就可以看到該使用者在此訂用帳戶被指派的角色。

盤點一個 服務主體 (Service Principal) 有多少 角色指派 (Role Assignments)

• 建立 服務主體 (Service Principal) 的方法

  最簡單的方法，預設會建立名為 azure-cli-當天UTC日期時間 的 服務主體 (Service Principal)，並自動將該 服務主體 (Service Principal) 指派 目前選用訂用帳戶 的 Contributor 角色：

  az ad sp create-for-rbac -o json
  

  你也可以明確指定預設要在目前訂用帳戶的角色指派

  az ad sp create-for-rbac --role Contributor -o json
  

  你也可以指定自訂的 服務主體 (Service Principal) 名稱

  az ad sp create-for-rbac --name 'my-service-principal' --role Contributor -o json
  

• 透過 Azure CLI 查詢 服務主體 (Service Principal) 指派了多少角色

  $subscriptions = (az account list -o json | ConvertFrom-Json)
  $subscriptions | ForEach-Object {
      echo "正在列出訂用帳戶 $($_.name) 的角色指派清單"
      az role assignment list --subscription $_.id --query "[?principalType=='ServicePrincipal']" -o json
  }
  

  目前 Azure CLI 取得任何資料若有包含 non-English 字元會遇到字元無法轉換成 Unicode 的問題，這個問題目前有三種解決方案，但是都不完美，所以在 Windows 應該是無解了，建議改用 Linux 或 Azure Az PowerShell 來解決此問題。

• 透過 Azure Az PowerShell 查詢 服務主體 (Service Principal) 指派了多少角色

  # 取得所有訂用帳戶
  $tenantId = '4b972557-b992-4f77-b743-41f0d251f741'
  $subscriptions = Get-AzSubscription -TenantId $tenantId
  
  # 取得所有角色指派
  $subscriptions | ForEach-Object {
      echo "正在列出訂用帳戶 $($_.Name) 的角色指派清單"
      Get-AzRoleAssignment -Scope "/subscriptions/$($_.Id)" -WarningAction Ignore | Where-Object { $_.ObjectType -eq 'ServicePrincipal' }
  }
  

• 列出所有訂用帳戶中所有的角色指派中無法找到的主體的無效項目

  Azure Az PowerShell

  # 取得所有訂用帳戶
  $tenantId = '4b972557-b992-4f77-b743-41f0d251f741'
  $subscriptions = Get-AzSubscription -TenantId $tenantId
  
  # 取得所有角色指派
  $subscriptions | ForEach-Object {
      echo "正在列出訂用帳戶 $($_.Name) 的無效角色指派清單"
      Get-AzRoleAssignment -Scope "/subscriptions/$($_.Id)" -WarningAction Ignore | Where-Object { $_.DisplayName -eq $null }
  }
  

  Azure CLI

  $subscriptions = (az account list -o json | ConvertFrom-Json)
  $subscriptions | ForEach-Object {
      echo "正在列出訂用帳戶 $($_.name) 的角色指派清單"
      az role assignment list --subscription $_.id --query "[?principalName=='']" -o json
  }
  

使用 Azure CLI 刪除角色指派的方法

1. 先找出訂用帳戶中的 role assignment ids

   az role assignment list --include-inherited --include-classic-administrators --include-groups --all -o json
   

   注意: 請找出角色指派的 id 屬性，該屬性長相很像網址路徑 (PATH_INFO)。

2. 刪除角色指派

   $subscriptionId = '90418710-4b33-401d-bfe2-5141bda70b64'
   $roleAssignmentsId = '0f2ce15f-1c21-4842-a84f-3884cc49258a'
   az role assignment delete --ids "/subscriptions/${subscriptionId}/providers/Microsoft.Authorization/roleAssignments/${roleAssignmentsId}"
   

   如果要一次刪除兩個角色指派，可以這樣用：

   az role assignment delete --ids "/subscriptions/90418710-4b33-401d-bfe2-5141bda70b64/providers/Microsoft.Authorization/roleAssignments/78ff8eb5-1adc-4a61-a1a3-0cca6a25d652" "/subscriptions/90418710-4b33-401d-bfe2-5141bda70b64/providers/Microsoft.Authorization/roleAssignments/4449d6f8-7781-49c1-a4e2-249232220a30"