Compartir a través de

az role assignment

Administrar asignaciones de roles.

Comandos

Nombre Description Tipo Estado
az role assignment create

Crea una nueva asignación de roles para un usuario, grupo o entidad de servicio.

 Core GA
az role assignment delete

Eliminar asignaciones de roles.

 Core GA
az role assignment list

Enumerar asignaciones de roles.

 Core GA
az role assignment list-changelogs

Enumerar los registros de cambios para las asignaciones de roles.

 Core GA
az role assignment update

Actualice una asignación de roles existente para un usuario, grupo o entidad de servicio.

 Core GA

az role assignment create

Editar

Crea una nueva asignación de roles para un usuario, grupo o entidad de servicio.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Ejemplos

Cree una asignación de roles para conceder al asignado especificado el rol Lector en una máquina virtual de Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Cree una asignación de roles para un receptor con descripción y condición.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Cree la asignación de roles con su propio nombre de asignación.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Parámetros requeridos

--role

Nombre o identificador del rol.

--scope

Ámbito en el que se aplica la asignación o definición de roles, por ejemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parámetros opcionales

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--assignee

Representa un usuario, un grupo o una entidad de servicio. formato admitido: id. de objeto, nombre de inicio de sesión de usuario o nombre de entidad de seguridad de servicio.

--assignee-object-id

El identificador de objeto del cesionario (también conocido como identificador principal). Use este argumento en lugar de '--assignee' para omitir la consulta de Microsoft Graph en caso de que la cuenta que ha iniciado sesión no tenga permiso o el equipo no tenga acceso a la red para consultar Microsoft Graph.

--assignee-principal-type

Use con --assignee-object-id para evitar errores causados por la latencia de propagación en Microsoft Graph.

Propiedad Valor
Valores aceptados: ForeignGroup, Group, ServicePrincipal, User
--condition
Vista previa

Condición bajo la que se puede conceder permiso al usuario.

--condition-version
Vista previa

Versión de la sintaxis de la condición. Si --condition se especifica sin --condition-version, el valor predeterminado es 2.0.

--description
Vista previa

Descripción de la asignación de roles.

--name -n

GUID para la asignación de roles. Debe ser único y diferente para cada asignación de roles. Si se omite, se genera un nuevo GUID.

Parámetros globales
--debug

Aumente el nivel de detalle del registro para mostrar todos los registros de depuración.

Propiedad Valor
Valor predeterminado: False
--help -h

Mostrar este mensaje de ayuda y salir.

--only-show-errors

Solo se muestran errores, suprimiendo advertencias.

Propiedad Valor
Valor predeterminado: False
--output -o

Output format.

Propiedad Valor
Valor predeterminado: json
Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
--query

Cadena de consulta JMESPath. Consulte http://jmespath.org/ para obtener más información y ejemplos.

--subscription

Nombre o identificador de la suscripción. Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle del registro. Usa --debug para ver registros de depuración completos.

Propiedad Valor
Valor predeterminado: False

az role assignment delete

Editar

Eliminar asignaciones de roles.

Este comando elimina todas las asignaciones de roles que cumplen la condición de consulta proporcionada. Antes de ejecutar este comando, se recomienda ejecutar az role assignment list primero con los mismos argumentos para ver qué asignaciones de roles se eliminarán.

az role assignment delete [--assignee]
                          [--assignee-object-id]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Ejemplos

Elimine todas las asignaciones de roles con el rol "Lector" en el ámbito de la suscripción.

az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Elimine todas las asignaciones de roles de un receptor en el ámbito de la suscripción.

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Elimine todas las asignaciones de roles de un usuario asignado (con su identificador de objeto) en el ámbito de la suscripción.

az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Parámetros opcionales

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--assignee

Representa un usuario, un grupo o una entidad de servicio. formato admitido: id. de objeto, nombre de inicio de sesión de usuario o nombre de entidad de seguridad de servicio.

--assignee-object-id

El identificador de objeto del cesionario (también conocido como identificador principal). Use este argumento en lugar de '--assignee' para omitir la consulta de Microsoft Graph en caso de que la cuenta que ha iniciado sesión no tenga permiso o el equipo no tenga acceso a la red para consultar Microsoft Graph.

--ids

Identificadores de asignación de roles separados por espacios.

--include-inherited

Incluir asignaciones aplicadas en ámbitos primarios.

Propiedad Valor
Valor predeterminado: False
--resource-group -g

Úselo solo si el rol o la asignación se agregaron en el nivel de un grupo de recursos.

--role

Nombre o identificador del rol.

--scope

Ámbito en el que se aplica la asignación o definición de roles, por ejemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Currently no-op.

Parámetros globales
--debug

Aumente el nivel de detalle del registro para mostrar todos los registros de depuración.

Propiedad Valor
Valor predeterminado: False
--help -h

Mostrar este mensaje de ayuda y salir.

--only-show-errors

Solo se muestran errores, suprimiendo advertencias.

Propiedad Valor
Valor predeterminado: False
--output -o

Output format.

Propiedad Valor
Valor predeterminado: json
Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
--query

Cadena de consulta JMESPath. Consulte http://jmespath.org/ para obtener más información y ejemplos.

--subscription

Nombre o identificador de la suscripción. Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle del registro. Usa --debug para ver registros de depuración completos.

Propiedad Valor
Valor predeterminado: False

az role assignment list

Editar

Enumerar asignaciones de roles.

De forma predeterminada, solo se mostrarán las asignaciones con ámbito de suscripción. Para ver las asignaciones con ámbito por recurso o grupo, use --all.

az role assignment list [--all]
                        [--assignee]
                        [--assignee-object-id]
                        [--fill-principal-name {false, true}]
                        [--fill-role-definition-name {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Ejemplos

Enumere las asignaciones de roles en el ámbito de la suscripción.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000

Enumere las asignaciones de roles en el ámbito de la suscripción, sin rellenar la propiedad roleDefinitionName.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false

Enumere las asignaciones de roles con el rol "Lector" en el ámbito de la suscripción.

az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Enumere las asignaciones de roles de un usuario asignado en el ámbito de la suscripción.

az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Enumere las asignaciones de roles de un usuario asignado (con su identificador de objeto) en el ámbito de la suscripción, sin rellenar la propiedad principalName. Este comando no consulta Microsoft Graph.

az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false

Parámetros opcionales

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--all

Mostrar todas las asignaciones en la suscripción actual.

Propiedad Valor
Valor predeterminado: False
--assignee

Representa un usuario, un grupo o una entidad de servicio. formato admitido: id. de objeto, nombre de inicio de sesión de usuario o nombre de entidad de seguridad de servicio.

--assignee-object-id

El identificador de objeto del cesionario (también conocido como identificador principal). Use este argumento en lugar de '--assignee' para omitir la consulta de Microsoft Graph en caso de que la cuenta que ha iniciado sesión no tenga permiso o el equipo no tenga acceso a la red para consultar Microsoft Graph.

--fill-principal-name

Consulte Microsoft Graph para obtener el userPrincipalName (para el usuario), servicePrincipalNames (para la entidad de servicio) o displayName (para el grupo) del usuario asignado y, a continuación, rellene la propiedad principalName con él. Si la cuenta que ha iniciado sesión no tiene permiso o el equipo no tiene acceso a la red para consultar Microsoft Graph, establezca esta marca en false para evitar advertencias o errores.

Propiedad Valor
Valor predeterminado: True
Valores aceptados: false, true
--fill-role-definition-name

Rellene la propiedad roleDefinitionName además de roleDefinitionId. Esta operación es costosa. Si tiene problemas de rendimiento, establezca esta marca en false.

Propiedad Valor
Valor predeterminado: True
Valores aceptados: false, true
--include-groups

Incluya asignaciones adicionales a los grupos de los que el usuario es miembro (transitivamente).

Propiedad Valor
Valor predeterminado: False
--include-inherited

Incluir asignaciones aplicadas en ámbitos primarios.

Propiedad Valor
Valor predeterminado: False
--resource-group -g

Úselo solo si el rol o la asignación se agregaron en el nivel de un grupo de recursos.

--role

Nombre o identificador del rol.

--scope

Ámbito en el que se aplica la asignación o definición de roles, por ejemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parámetros globales
--debug

Aumente el nivel de detalle del registro para mostrar todos los registros de depuración.

Propiedad Valor
Valor predeterminado: False
--help -h

Mostrar este mensaje de ayuda y salir.

--only-show-errors

Solo se muestran errores, suprimiendo advertencias.

Propiedad Valor
Valor predeterminado: False
--output -o

Output format.

Propiedad Valor
Valor predeterminado: json
Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
--query

Cadena de consulta JMESPath. Consulte http://jmespath.org/ para obtener más información y ejemplos.

--subscription

Nombre o identificador de la suscripción. Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle del registro. Usa --debug para ver registros de depuración completos.

Propiedad Valor
Valor predeterminado: False

az role assignment list-changelogs

Editar

Enumerar los registros de cambios para las asignaciones de roles.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parámetros opcionales

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--end-time

Hora de finalización de la consulta con el formato %Y-%m-%dT%H:%M:%SZ, por ejemplo, 2000-12-31T12:59:59Z. El valor predeterminado es la hora actual.

--start-time

Hora de inicio de la consulta con el formato %Y-%m-%dT%H:%M:%SZ, por ejemplo, 2000-12-31T12:59:59Z. El valor predeterminado es 1 hora antes de la hora actual.

Parámetros globales
--debug

Aumente el nivel de detalle del registro para mostrar todos los registros de depuración.

Propiedad Valor
Valor predeterminado: False
--help -h

Mostrar este mensaje de ayuda y salir.

--only-show-errors

Solo se muestran errores, suprimiendo advertencias.

Propiedad Valor
Valor predeterminado: False
--output -o

Output format.

Propiedad Valor
Valor predeterminado: json
Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
--query

Cadena de consulta JMESPath. Consulte http://jmespath.org/ para obtener más información y ejemplos.

--subscription

Nombre o identificador de la suscripción. Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle del registro. Usa --debug para ver registros de depuración completos.

Propiedad Valor
Valor predeterminado: False

az role assignment update

Editar

Actualice una asignación de roles existente para un usuario, grupo o entidad de servicio.

az role assignment update --role-assignment

Ejemplos

Actualice una asignación de roles desde un archivo JSON.

az role assignment update --role-assignment assignment.json

Actualice una asignación de roles desde una cadena JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parámetros requeridos

--role-assignment

Descripción de una asignación de roles existente como JSON o una ruta de acceso a un archivo que contiene una descripción JSON.

Parámetros globales
--debug

Aumente el nivel de detalle del registro para mostrar todos los registros de depuración.

Propiedad Valor
Valor predeterminado: False
--help -h

Mostrar este mensaje de ayuda y salir.

--only-show-errors

Solo se muestran errores, suprimiendo advertencias.

Propiedad Valor
Valor predeterminado: False
--output -o

Output format.

Propiedad Valor
Valor predeterminado: json
Valores aceptados: json, jsonc, none, table, tsv, yaml, yamlc
--query

Cadena de consulta JMESPath. Consulte http://jmespath.org/ para obtener más información y ejemplos.

--subscription

Nombre o identificador de la suscripción. Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.

--verbose

Aumente el nivel de detalle del registro. Usa --debug para ver registros de depuración completos.

Propiedad Valor
Valor predeterminado: False