az role assignment
Administrar asignaciones de roles.
Comandos
| Nombre | Description | Tipo | Estado |
|---|---|---|---|
| az role assignment create |
Crea una nueva asignación de roles para un usuario, grupo o entidad de servicio. |
Core | GA |
| az role assignment delete |
Eliminar asignaciones de roles. |
Core | GA |
| az role assignment list |
Lista de asignaciones de roles. |
Core | GA |
| az role assignment list-changelogs |
Enumerar los registros de cambios para las asignaciones de roles. |
Core | GA |
| az role assignment update |
Actualice una asignación de roles existente para un usuario, grupo o entidad de servicio. |
Core | GA |
az role assignment create
Crea una nueva asignación de roles para un usuario, grupo o entidad de servicio.
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]Ejemplos
Cree una asignación de roles para conceder al asignado especificado el rol Lector en una máquina virtual de Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVmCree una asignación de roles para un receptor con descripción y condición.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"Cree la asignación de roles con su propio nombre de asignación.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000Parámetros requeridos
Nombre o identificador del rol.
Ámbito en el que se aplica la asignación o definición de roles, por ejemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Parámetros opcionales
Representa un usuario, un grupo o una entidad de servicio. formato admitido: id. de objeto, nombre de inicio de sesión de usuario o nombre de entidad de seguridad de servicio.
Use este parámetro en lugar de "--assignee" para omitir la invocación de Graph API en caso de que no haya privilegios suficientes. Este parámetro solo funciona con identificadores de objeto para usuarios, grupos, entidades de servicio e identidades administradas. En el caso de las identidades administradas, use el identificador de entidad de seguridad. En el caso de las entidades de servicio, use el identificador de objeto y no el identificador de la aplicación.
Use con --assignee-object-id para evitar errores causados por la latencia de propagación en Microsoft Graph.
Condición bajo la que se puede conceder permiso al usuario.
Versión de la sintaxis de la condición. Si --condition se especifica sin --condition-version, el valor predeterminado es 2.0.
Descripción de la asignación de roles.
GUID para la asignación de roles. Debe ser único y diferente para cada asignación de roles. Si se omite, se genera un nuevo GUID.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az role assignment delete
Eliminar asignaciones de roles.
az role assignment delete [--assignee]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]Ejemplos
Eliminar asignaciones de roles. (generado automáticamente)
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"Parámetros opcionales
Representa un usuario, un grupo o una entidad de servicio. formato admitido: id. de objeto, nombre de inicio de sesión de usuario o nombre de entidad de seguridad de servicio.
Identificadores de asignación de roles separados por espacios.
Incluir asignaciones aplicadas en ámbitos primarios.
Úselo solo si el rol o la asignación se agregaron en el nivel de un grupo de recursos.
Nombre o identificador del rol.
Ámbito en el que se aplica la asignación o definición de roles, por ejemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Continúe con la eliminación de todas las asignaciones de la suscripción.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az role assignment list
Lista de asignaciones de roles.
De forma predeterminada, se mostrarán únicamente las asignaciones que se limitan a la suscripción. Para ver las asignaciones limitadas por grupo o recurso, use --all.
[ADVERTENCIA] Los administradores de suscripciones clásicas de Azure se retirarán el 31 de agosto de 2024. Después del 31 de agosto de 2024, todos los administradores clásicos corren el riesgo de perder acceso a la suscripción. Elimine los administradores clásicos que ya no necesiten acceso o asignen un rol RBAC de Azure para el control de acceso específico. Más información: https://go.microsoft.com/fwlink/?linkid=2238474.
az role assignment list [--all]
[--assignee]
[--include-classic-administrators {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]Parámetros opcionales
Mostrar todas las asignaciones en la suscripción actual.
Representa un usuario, un grupo o una entidad de servicio. formato admitido: id. de objeto, nombre de inicio de sesión de usuario o nombre de entidad de seguridad de servicio.
La opción "--include-classic-administrators" está en desuso y se quitará en una versión futura.
Enumere las asignaciones de roles predeterminadas para los administradores clásicos de la suscripción, también conocidos como coadministradores.
Incluya asignaciones adicionales a los grupos de los que el usuario es miembro (transitivamente).
Incluir asignaciones aplicadas en ámbitos primarios.
Úselo solo si el rol o la asignación se agregaron en el nivel de un grupo de recursos.
Nombre o identificador del rol.
Ámbito en el que se aplica la asignación o definición de roles, por ejemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az role assignment list-changelogs
Enumerar los registros de cambios para las asignaciones de roles.
az role assignment list-changelogs [--end-time]
[--start-time]Parámetros opcionales
Hora de finalización de la consulta con el formato %Y-%m-%dT%H:%M:%SZ, por ejemplo, 2000-12-31T12:59:59Z. El valor predeterminado es la hora actual.
Hora de inicio de la consulta con el formato %Y-%m-%dT%H:%M:%SZ, por ejemplo, 2000-12-31T12:59:59Z. El valor predeterminado es 1 hora antes de la hora actual.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
az role assignment update
Actualice una asignación de roles existente para un usuario, grupo o entidad de servicio.
az role assignment update --role-assignmentEjemplos
Actualice una asignación de roles desde un archivo JSON.
az role assignment update --role-assignment assignment.jsonActualice una asignación de roles desde una cadena JSON. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'Parámetros requeridos
Descripción de una asignación de roles existente como JSON o una ruta de acceso a un archivo que contiene una descripción JSON.
Parámetros globales
Aumente el nivel de detalle de registro para mostrar todos los registros de depuración.
Muestre este mensaje de ayuda y salga.
Mostrar solo los errores y suprimir las advertencias.
Formato de salida.
Cadena de consulta de JMESPath. Para más información y ejemplos, consulte http://jmespath.org/.
Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID.
Aumente el nivel de detalle de registro. Use --debug para obtener registros de depuración completos.
