Get-AzRoleAssignment
Zobrazí seznam přiřazení rolí Azure RBAC v zadaném oboru. Ve výchozím nastavení zobrazí seznam všech přiřazení rolí ve vybraném předplatném Azure. Pomocí příslušných parametrů můžete vypsat přiřazení konkrétnímu uživateli nebo vypsat přiřazení pro konkrétní skupinu prostředků nebo prostředek.
Rutina může volat pod rozhraním Microsoft Graph API podle vstupních parametrů:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
- POST /directoryObjects/getByIds
Všimněte si, že tato rutina se označí ObjectType jako Unknown ve výstupu, pokud se nenajde objekt přiřazení role nebo aktuální účet nemá dostatečná oprávnění k získání typu objektu.
Syntaxe
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
[-ObjectId <String>]
-RoleDefinitionId <Guid>
[-Scope <String>]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Description
Pomocí příkazu Get-AzRoleAssignment vypíšete všechna přiřazení rolí, která jsou v oboru platná. Pokud nezadáte žádné parametry, tento příkaz vrátí všechna přiřazení rolí v rámci předplatného. Tento seznam lze filtrovat pomocí parametrů filtrování pro objekt zabezpečení, roli a obor. Musí být zadán předmět přiřazení. Pokud chcete zadat uživatele, použijte parametry SignInName nebo Microsoft Entra ObjectId. Pokud chcete zadat skupinu zabezpečení, použijte parametr Microsoft Entra ObjectId. A pokud chcete zadat aplikaci Microsoft Entra, použijte parametry ServicePrincipalName nebo ObjectId. Přiřazenou roli je nutné zadat pomocí parametru RoleDefinitionName. Je možné zadat obor, na kterém se uděluje přístup. Ve výchozím nastavení se vybrané předplatné nastaví. Rozsah přiřazení lze zadat pomocí jedné z následujících kombinací parametrů a. Rozsah – jedná se o plně kvalifikovaný obor začínající na /subscriptions/<subscriptionId>. Tím se vyfiltrují přiřazení, která jsou platná pro daný obor, tj. všechna přiřazení v daném oboru a výše. b. ResourceGroupName – název libovolné skupiny prostředků v rámci předplatného. Tím se vyfiltrují přiřazení platná pro zadanou skupinu prostředků c. ResourceName, ResourceType, ResourceGroupName a (volitelně) ParentResource – Identifikuje konkrétní prostředek v rámci předplatného a vyfiltruje přiřazení efektivní v daném oboru prostředků. Pokud chcete zjistit, jaký přístup má konkrétní uživatel v předplatném, použijte přepínač ExpandPrincipalGroups. Zobrazí se seznam všech rolí přiřazených uživateli a skupin, které je uživatel členem. Pomocí přepínače IncludeClassicAdministrators zobrazte také správce předplatného a spolusprávce.
Příklady
Příklad 1
Get-AzRoleAssignmentVýpis všech přiřazení rolí v předplatném
Příklad 2
Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.comZíská všechna přiřazení rolí provedených uživateli john.doe@contoso.coma skupiny, jejichž je členem, v oboru testRG nebo vyšší.
Příklad 3
Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"Získá všechna přiřazení rolí zadaného instančního objektu.
Příklad 4
Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"Získá přiřazení rolí v oboru webu site1.
Parametry
-DefaultProfile
Přihlašovací údaje, účet, tenant a předplatné používané ke komunikaci s Azure
| Typ: | IAzureContextContainer |
| Aliasy: | AzContext, AzureRmContext, AzureCredential |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
-ExpandPrincipalGroups
Pokud je zadáno, vrátí role přímo přiřazené uživateli a skupinám, jejichž je uživatel členem (přechodně). Podporuje se pouze pro objekt zabezpečení uživatele.
| Typ: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
-IncludeClassicAdministrators
Pokud je zadáno, zobrazí se také seznam klasických správců předplatného (spolusprávců, správců služeb atd.).
| Typ: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
-ObjectId
Microsoft Entra ObjectId uživatele, skupiny nebo instančního objektu. Vyfiltruje všechna přiřazení zadaná objekt zabezpečení.
| Typ: | String |
| Aliasy: | Id, PrincipalId |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-ParentResource
Nadřazený prostředek v hierarchii prostředku zadaného pomocí parametru ResourceName. Musí být použit ve spojení s parametry ResourceGroupName, ResourceType a ResourceName.
| Typ: | String |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-ResourceGroupName
Název skupiny prostředků. Zobrazí seznam přiřazení rolí, která jsou platná pro zadanou skupinu prostředků. Pokud se používá ve spojení s parametry ResourceName, ResourceType a ParentResource, příkaz vypíše přiřazení efektivní u prostředků v rámci skupiny prostředků.
| Typ: | String |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-ResourceName
Název prostředku. Například účet úložiště. Musí se používat ve spojení s parametry ResourceGroupName, ResourceType a (volitelně)ParentResource.
| Typ: | String |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-ResourceType
Typ zdroje. Například Microsoft.Network/virtualNetworks. Musí se používat ve spojení s parametry ResourceGroupName, ResourceName a (volitelně)ParentResource.
| Typ: | String |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-RoleDefinitionId
ID role přiřazené k objektu zabezpečení.
| Typ: | Guid |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-RoleDefinitionName
Role přiřazená objektu zabezpečení, tj. Čtenář, Přispěvatel, Správce virtuální sítě atd.
| Typ: | String |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-Scope
Rozsah přiřazení role. Ve formátu relativního identifikátoru URI. Například /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Musí začínat na /subscriptions/{id}. Příkaz vyfiltruje všechna přiřazení, která jsou v daném oboru platná.
| Typ: | String |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-ServicePrincipalName
ServicePrincipalName instančního objektu. Vyfiltruje všechna přiřazení provedená pro zadanou aplikaci Microsoft Entra.
| Typ: | String |
| Aliasy: | SPN |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-SignInName
E-mailová adresa nebo hlavní název uživatele. Vyfiltruje všechna přiřazení zadaná uživateli.
| Typ: | String |
| Aliasy: | Email, UserPrincipalName |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | True |
| Přijmout vstup kanálu: | True |
| Přijmout zástupné znaky: | False |
-SkipClientSideScopeValidation
Pokud je zadáno, přeskočte ověření oboru na straně klienta.
| Typ: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Vyžadováno: | False |
| Přijmout vstup kanálu: | False |
| Přijmout zástupné znaky: | False |
Vstupy
Výstupy
Poznámky
Klíčová slova: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment