Get-AzRoleAssignment
Répertorie les attributions de rôles RBAC Azure au niveau de l’étendue spécifiée. Par défaut, il répertorie toutes les attributions de rôles dans l’abonnement Azure sélectionné. Utilisez les paramètres respectifs pour répertorier les affectations à un utilisateur spécifique ou pour répertorier les affectations sur un groupe de ressources ou une ressource spécifique.
L’applet de commande peut appeler sous l’API Microsoft Graph en fonction des paramètres d’entrée :
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
- POST /directoryObjects/getByIds
Notez que cette applet de commande marque comme ObjectType
Unknown
dans la sortie si l’objet de l’attribution de rôle est introuvable ou que le compte actuel dispose de privilèges insuffisants pour obtenir le type d’objet.
Syntax
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
[-ObjectId <String>]
-RoleDefinitionId <Guid>
[-Scope <String>]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Description
Utilisez la commande Get-AzRoleAssignment pour répertorier toutes les attributions de rôles effectives sur une étendue. Sans paramètres, cette commande renvoie toutes les affectations de rôle effectuées dans l’abonnement. Cette liste peut être filtrée à l’aide de paramètres de filtrage pour le principal, le rôle et l’étendue. L’objet de l’affectation doit être spécifié. Pour spécifier un utilisateur, utilisez les paramètres SignInName ou Microsoft Entra ObjectId. Pour spécifier un groupe de sécurité, utilisez le paramètre Microsoft Entra ObjectId. Pour spécifier une application Microsoft Entra, utilisez les paramètres ServicePrincipalName ou ObjectId. Le rôle affecté doit être spécifié à l’aide du paramètre RoleDefinitionName. L’étendue à laquelle l’accès est accordé peut être spécifié. Il est défini par défaut sur l’abonnement sélectionné. L’étendue de l’affectation peut être spécifiée à l’aide de l’une des combinaisons de paramètres suivantes. Étendue : il s’agit de l’étendue complète commençant par /subscriptions/<subscriptionId>. Cela filtre les affectations qui sont effectives à cette étendue particulière, c’est-à-dire toutes les affectations à cette étendue et ci-dessus. b. ResourceGroupName : nom d’un groupe de ressources sous l’abonnement. Cela filtre les affectations effectives au groupe de ressources c spécifié. ResourceName, ResourceType, ResourceGroupName et (éventuellement) ParentResource : identifie une ressource particulière sous l’abonnement et filtre les affectations effectives à cette étendue de ressource. Pour déterminer l’accès d’un utilisateur particulier dans l’abonnement, utilisez le commutateur ExpandPrincipalGroups. Cela répertorie tous les rôles attribués à l’utilisateur et aux groupes dont l’utilisateur est membre. Utilisez le commutateur IncludeClassic Administration istrators pour afficher également les administrateurs d’abonnement et les coadministrateurs.
Exemples
Exemple 1
Get-AzRoleAssignment
Répertorier toutes les attributions de rôles dans l’abonnement
Exemple 2
Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com
Obtient toutes les attributions de rôles effectuées à l’utilisateur john.doe@contoso.com, ainsi que les groupes dont il est membre, au niveau de l’étendue testRG ou ultérieure.
Exemple 3
Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"
Obtient toutes les attributions de rôle du principal de service spécifié
Exemple 4
Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Obtient les attributions de rôles dans l’étendue du site web « site1 ».
Paramètres
-DefaultProfile
Informations d’identification, compte, locataire et abonnement utilisés pour la communication avec Azure
Type: | IAzureContextContainer |
Aliases: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ExpandPrincipalGroups
S’il est spécifié, retourne des rôles directement affectés à l’utilisateur et aux groupes dont l’utilisateur est membre (transitivement). Pris en charge uniquement pour un principal d’utilisateur.
Type: | SwitchParameter |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-IncludeClassicAdministrators
S’il est spécifié, répertorie également les attributions de rôles d’administrateurs classiques d’abonnement (coadministrateurs, administrateurs de service, etc.).
Type: | SwitchParameter |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ObjectId
Microsoft Entra ObjectId de l’utilisateur, du groupe ou du principal du service. Filtre toutes les affectations effectuées au principal spécifié.
Type: | String |
Aliases: | Id, PrincipalId |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ParentResource
Ressource parente dans la hiérarchie de la ressource spécifiée à l’aide du paramètre ResourceName. Doit être utilisé conjointement avec les paramètres ResourceGroupName, ResourceType et ResourceName.
Type: | String |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceGroupName
Nom du groupe de ressources. Répertorie les attributions de rôles qui sont effectives au niveau du groupe de ressources spécifié. Lorsqu’elle est utilisée conjointement avec les paramètres ResourceName, ResourceType et ParentResource, la commande répertorie les affectations effectives dans les ressources du groupe de ressources.
Type: | String |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceName
Nom de la ressource. Par exemple, storageaccountprod. Doit être utilisé conjointement avec les paramètres ResourceGroupName, ResourceType et (éventuellement)ParentResource.
Type: | String |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceType
Type de ressource. Par exemple, Microsoft.Network/virtualNetworks. Doit être utilisé conjointement avec les paramètres ResourceGroupName, ResourceName et (éventuellement)ParentResource.
Type: | String |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionId
ID du rôle affecté au principal.
Type: | Guid |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionName
Rôle attribué au principal, c’est-à-dire lecteur, contributeur, Réseau virtuel Administration istrateur, etc.
Type: | String |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Scope
Étendue de l’attribution de rôle. Au format de l’URI relatif. Par exemple, /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Il doit commencer par « /subscriptions/{id} ». La commande filtre toutes les affectations qui sont effectives à cette étendue.
Type: | String |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ServicePrincipalName
ServicePrincipalName du principal de service. Filtre toutes les affectations effectuées à l’application Microsoft Entra spécifiée.
Type: | String |
Aliases: | SPN |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SignInName
Adresse e-mail ou nom d’utilisateur principal de l’utilisateur. Filtre toutes les affectations effectuées à l’utilisateur spécifié.
Type: | String |
Aliases: | Email, UserPrincipalName |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SkipClientSideScopeValidation
Si elle est spécifiée, ignorez la validation de l’étendue côté client.
Type: | SwitchParameter |
Position: | Named |
valeur par défaut: | None |
Obligatoire: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Entrées
Sorties
Notes
Mots clés : azure, azurerm, arm, resource, management, manager, resource, group, template, deployment