Get-AzRoleAssignment
Enumera las asignaciones de roles de RBAC de Azure en el ámbito especificado. De forma predeterminada, enumera todas las asignaciones de roles de la suscripción de Azure seleccionada. Use los parámetros respectivos para enumerar las asignaciones a un usuario específico o para enumerar las asignaciones de un grupo de recursos o un recurso específicos.
El cmdlet puede llamar a microsoft Graph API debajo según los parámetros de entrada:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
- POST /directoryObjects/getByIds
Tenga en cuenta que este cmdlet marcará ObjectType como Unknown en la salida si no se encuentra el objeto de asignación de roles o la cuenta actual no tiene privilegios suficientes para obtener el tipo de objeto.
Sintaxis
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
[-ObjectId <String>]
-RoleDefinitionId <Guid>
[-Scope <String>]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Description
Use el comando Get-AzRoleAssignment para enumerar todas las asignaciones de roles que son efectivas en un ámbito. Sin parámetros, este comando devuelve todas las asignaciones de roles realizadas en la suscripción. Esta lista se puede filtrar mediante parámetros de filtrado para la entidad de seguridad, el rol y el ámbito. Se debe especificar el asunto de la asignación. Para especificar un usuario, use los parámetros SignInName o Microsoft Entra ObjectId. Para especificar un grupo de seguridad, use el parámetro Microsoft Entra ObjectId. Y para especificar una aplicación de Microsoft Entra, use los parámetros ServicePrincipalName o ObjectId. El rol que se va a asignar debe especificarse mediante el parámetro RoleDefinitionName. Se puede especificar el ámbito en el que se concede acceso. El valor predeterminado es la suscripción seleccionada. El ámbito de la asignación se puede especificar mediante una de las siguientes combinaciones de parámetros a. Ámbito: este es el ámbito completo a partir de /subscriptions/<subscriptionId>. Esto filtrará las asignaciones que son efectivas en ese ámbito concreto, es decir, todas las asignaciones en ese ámbito y versiones posteriores. b. ResourceGroupName: nombre de cualquier grupo de recursos de la suscripción. Esto filtrará las asignaciones vigentes en el grupo de recursos especificado c. ResourceName, ResourceType, ResourceGroupName y (opcionalmente) ParentResource: identifica un recurso determinado en la suscripción y filtrará las asignaciones vigentes en ese ámbito de recurso. Para determinar qué acceso tiene un usuario determinado en la suscripción, use el modificador ExpandPrincipalGroups. Esto enumerará todos los roles asignados al usuario y a los grupos de los que es miembro el usuario. Use el modificador IncludeClassicAdministrators para mostrar también los administradores de suscripciones y coadministradores.
Ejemplos
Ejemplo 1
Get-AzRoleAssignmentEnumerar todas las asignaciones de roles de la suscripción
Ejemplo 2
Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.comObtiene todas las asignaciones de roles realizadas al usuario john.doe@contoso.comy los grupos de los que es miembro, en el ámbito testRG o superior.
Ejemplo 3
Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"Obtiene todas las asignaciones de roles de la entidad de servicio especificada.
Ejemplo 4
Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"Obtiene asignaciones de roles en el ámbito del sitio web "site1".
Parámetros
-DefaultProfile
Las credenciales, la cuenta, el inquilino y la suscripción que se usan para la comunicación con Azure
| Tipo: | IAzureContextContainer |
| Alias: | AzContext, AzureRmContext, AzureCredential |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | False |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
-ExpandPrincipalGroups
Si se especifica, devuelve roles asignados directamente al usuario y a los grupos de los que el usuario es miembro (transitivamente). Solo se admite para una entidad de seguridad de usuario.
| Tipo: | SwitchParameter |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | False |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
-IncludeClassicAdministrators
Si se especifica, también enumera las asignaciones de roles de administradores clásicos de suscripción (coadministradores, administradores de servicios, etcetera).).
| Tipo: | SwitchParameter |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | False |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
-ObjectId
Microsoft Entra ObjectId del usuario, grupo o entidad de servicio. Filtra todas las asignaciones realizadas a la entidad de seguridad especificada.
| Tipo: | String |
| Alias: | Id, PrincipalId |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-ParentResource
Recurso primario de la jerarquía del recurso especificado mediante el parámetro ResourceName. Debe usarse junto con los parámetros ResourceGroupName, ResourceType y ResourceName.
| Tipo: | String |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | False |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-ResourceGroupName
El nombre del grupo de recursos. Enumera las asignaciones de roles que son efectivas en el grupo de recursos especificado. Cuando se usa junto con los parámetros ResourceName, ResourceType y ParentResource, el comando enumera las asignaciones vigentes en los recursos del grupo de recursos.
| Tipo: | String |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-ResourceName
Nombre del recurso. Por ejemplo, storageaccountprod. Debe usarse junto con los parámetros ResourceGroupName, ResourceType y (opcionalmente) ParentResource.
| Tipo: | String |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-ResourceType
Tipo de recurso. Por ejemplo, Microsoft.Network/virtualNetworks. Debe usarse junto con los parámetros ResourceGroupName, ResourceName y (opcionalmente) ParentResource.
| Tipo: | String |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-RoleDefinitionId
Identificador del rol asignado a la entidad de seguridad.
| Tipo: | Guid |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-RoleDefinitionName
Rol asignado a la entidad de seguridad, es decir, Lector, Colaborador, Administrador de red virtual, etcetera.
| Tipo: | String |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | False |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-Scope
Ámbito de la asignación de roles. En el formato de URI relativo. Por ejemplo, /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Debe comenzar con "/subscriptions/{id}". El comando filtra todas las asignaciones que son efectivas en ese ámbito.
| Tipo: | String |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-ServicePrincipalName
ServicePrincipalName de la entidad de servicio. Filtra todas las asignaciones realizadas a la aplicación Microsoft Entra especificada.
| Tipo: | String |
| Alias: | SPN |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-SignInName
La dirección de correo electrónico o el nombre principal de usuario del usuario. Filtra todas las asignaciones realizadas al usuario especificado.
| Tipo: | String |
| Alias: | Email, UserPrincipalName |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | True |
| Aceptar entrada de canalización: | True |
| Aceptar caracteres comodín: | False |
-SkipClientSideScopeValidation
Si se especifica, omita la validación del ámbito del lado cliente.
| Tipo: | SwitchParameter |
| Posición: | Named |
| Valor predeterminado: | None |
| Requerido: | False |
| Aceptar entrada de canalización: | False |
| Aceptar caracteres comodín: | False |
Entradas
Salidas
Notas
Palabras clave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment