Compartir a través de


Get-AzRoleAssignment

Enumera las asignaciones de roles de RBAC de Azure en el ámbito especificado. De forma predeterminada, enumera todas las asignaciones de roles de la suscripción de Azure seleccionada. Use los parámetros respectivos para enumerar las asignaciones a un usuario específico o para enumerar las asignaciones de un grupo de recursos o un recurso específicos.

El cmdlet puede llamar a microsoft Graph API debajo según los parámetros de entrada:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

Tenga en cuenta que este cmdlet marcará ObjectType como Unknown en la salida si no se encuentra el objeto de asignación de roles o la cuenta actual no tiene privilegios suficientes para obtener el tipo de objeto.

Sintaxis

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

Use el comando Get-AzRoleAssignment para enumerar todas las asignaciones de roles que son efectivas en un ámbito. Sin parámetros, este comando devuelve todas las asignaciones de roles realizadas en la suscripción. Esta lista se puede filtrar mediante parámetros de filtrado para la entidad de seguridad, el rol y el ámbito. Se debe especificar el asunto de la asignación. Para especificar un usuario, use los parámetros SignInName o Microsoft Entra ObjectId. Para especificar un grupo de seguridad, use el parámetro Microsoft Entra ObjectId. Y para especificar una aplicación de Microsoft Entra, use los parámetros ServicePrincipalName o ObjectId. El rol que se va a asignar debe especificarse mediante el parámetro RoleDefinitionName. Se puede especificar el ámbito en el que se concede acceso. El valor predeterminado es la suscripción seleccionada. El ámbito de la asignación se puede especificar mediante una de las siguientes combinaciones de parámetros a. Ámbito: este es el ámbito completo a partir de /subscriptions/<subscriptionId>. Esto filtrará las asignaciones que son efectivas en ese ámbito concreto, es decir, todas las asignaciones en ese ámbito y versiones posteriores. b. ResourceGroupName: nombre de cualquier grupo de recursos de la suscripción. Esto filtrará las asignaciones vigentes en el grupo de recursos especificado c. ResourceName, ResourceType, ResourceGroupName y (opcionalmente) ParentResource: identifica un recurso determinado en la suscripción y filtrará las asignaciones vigentes en ese ámbito de recurso. Para determinar qué acceso tiene un usuario determinado en la suscripción, use el modificador ExpandPrincipalGroups. Esto enumerará todos los roles asignados al usuario y a los grupos de los que es miembro el usuario. Use el modificador IncludeClassicAdministrators para mostrar también los administradores de suscripciones y coadministradores.

Ejemplos

Ejemplo 1

Get-AzRoleAssignment

Enumerar todas las asignaciones de roles de la suscripción

Ejemplo 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

Obtiene todas las asignaciones de roles realizadas al usuario john.doe@contoso.comy los grupos de los que es miembro, en el ámbito testRG o superior.

Ejemplo 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

Obtiene todas las asignaciones de roles de la entidad de servicio especificada.

Ejemplo 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Obtiene asignaciones de roles en el ámbito del sitio web "site1".

Parámetros

-DefaultProfile

Las credenciales, la cuenta, el inquilino y la suscripción que se usan para la comunicación con Azure

Tipo:IAzureContextContainer
Alias:AzContext, AzureRmContext, AzureCredential
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-ExpandPrincipalGroups

Si se especifica, devuelve roles asignados directamente al usuario y a los grupos de los que el usuario es miembro (transitivamente). Solo se admite para una entidad de seguridad de usuario.

Tipo:SwitchParameter
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-IncludeClassicAdministrators

Si se especifica, también enumera las asignaciones de roles de administradores clásicos de suscripción (coadministradores, administradores de servicios, etcetera).).

Tipo:SwitchParameter
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

-ObjectId

Microsoft Entra ObjectId del usuario, grupo o entidad de servicio. Filtra todas las asignaciones realizadas a la entidad de seguridad especificada.

Tipo:String
Alias:Id, PrincipalId
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ParentResource

Recurso primario de la jerarquía del recurso especificado mediante el parámetro ResourceName. Debe usarse junto con los parámetros ResourceGroupName, ResourceType y ResourceName.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ResourceGroupName

El nombre del grupo de recursos. Enumera las asignaciones de roles que son efectivas en el grupo de recursos especificado. Cuando se usa junto con los parámetros ResourceName, ResourceType y ParentResource, el comando enumera las asignaciones vigentes en los recursos del grupo de recursos.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ResourceName

Nombre del recurso. Por ejemplo, storageaccountprod. Debe usarse junto con los parámetros ResourceGroupName, ResourceType y (opcionalmente) ParentResource.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ResourceType

Tipo de recurso. Por ejemplo, Microsoft.Network/virtualNetworks. Debe usarse junto con los parámetros ResourceGroupName, ResourceName y (opcionalmente) ParentResource.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-RoleDefinitionId

Identificador del rol asignado a la entidad de seguridad.

Tipo:Guid
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-RoleDefinitionName

Rol asignado a la entidad de seguridad, es decir, Lector, Colaborador, Administrador de red virtual, etcetera.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-Scope

Ámbito de la asignación de roles. En el formato de URI relativo. Por ejemplo, /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Debe comenzar con "/subscriptions/{id}". El comando filtra todas las asignaciones que son efectivas en ese ámbito.

Tipo:String
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-ServicePrincipalName

ServicePrincipalName de la entidad de servicio. Filtra todas las asignaciones realizadas a la aplicación Microsoft Entra especificada.

Tipo:String
Alias:SPN
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-SignInName

La dirección de correo electrónico o el nombre principal de usuario del usuario. Filtra todas las asignaciones realizadas al usuario especificado.

Tipo:String
Alias:Email, UserPrincipalName
Posición:Named
Valor predeterminado:None
Requerido:True
Aceptar entrada de canalización:True
Aceptar caracteres comodín:False

-SkipClientSideScopeValidation

Si se especifica, omita la validación del ámbito del lado cliente.

Tipo:SwitchParameter
Posición:Named
Valor predeterminado:None
Requerido:False
Aceptar entrada de canalización:False
Aceptar caracteres comodín:False

Entradas

String

Guid

Salidas

PSRoleAssignment

Notas

Palabras clave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment