Azureに(RESTまたはCLI経由で)照会して、特定のアクションに対してどのアクセス許可が必要/許可されているかを調べる方法はありますか?Azure RBACパーミッションツリー?
たとえば、VMを作成できるように、Microsoft.Compute/virtualMachines/writeのアクセス許可を持つSPNを割り当てたい場合は、そのSPNに割り当てる前に他のアクセス許可が与えられているかどうかを確認する必要があります。
私が知る限り、あなたが記述した方法で依存関係をリストする方法はありません。 PowershellのコマンドレットのGet-AzureRmProviderOperationは、必要なアクセス許可の情報を提供します。 https://docs.microsoft.com/en-us/powershell/module/azurerm.resources/get-azurermprovideroperation?view=azurermps-5.0.0
カスタムロールのアクションプロパティは、役割付与がアクセスAzureの操作を指定します。 Azureリソースプロバイダのセキュリティ保護可能な操作を識別する操作文字列の集合です。操作文字列は、Azureのリソース・プロバイダーの操作をリストする
Microsoft.<ProviderName>/<ChildResourceType>/<action>
使用Get-AzureRmProviderOperation(PowerShellで)またはazure provider operations show(アズールCLIで)のフォーマットに従ってください。
詳細については、「Create custom roles for Azure Role-Based Access Control」を参照してください。