Udostępnij za pośrednictwem


Get-AzRoleAssignment

Wyświetla listę przypisań ról RBAC platformy Azure w określonym zakresie. Domyślnie wyświetla listę wszystkich przypisań ról w wybranej subskrypcji platformy Azure. Użyj odpowiednich parametrów, aby wyświetlić listę przypisań do określonego użytkownika lub wyświetlić listę przypisań w określonej grupie zasobów lub zasobie.

Polecenie cmdlet może wywołać poniższy interfejs API programu Microsoft Graph zgodnie z parametrami wejściowymi:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

Zwróć uwagę, że to polecenie cmdlet będzie oznaczać ObjectType jako Unknown dane wyjściowe, jeśli obiekt przypisania roli nie zostanie znaleziony lub bieżące konto ma niewystarczające uprawnienia do pobrania typu obiektu.

Składnia

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Opis

Użyj polecenia Get-AzRoleAssignment, aby wyświetlić listę wszystkich przypisań ról, które obowiązują w zakresie. Bez żadnych parametrów to polecenie zwraca wszystkie przypisania ról dokonane w ramach subskrypcji. Tę listę można filtrować przy użyciu parametrów filtrowania dla podmiotu zabezpieczeń, roli i zakresu. Należy określić temat przypisania. Aby określić użytkownika, użyj parametrów SignInName lub Microsoft Entra ObjectId. Aby określić grupę zabezpieczeń, użyj parametru Microsoft Entra ObjectId. Aby określić aplikację Microsoft Entra, użyj parametrów ServicePrincipalName lub ObjectId. Przypisaną rolę należy określić przy użyciu parametru RoleDefinitionName. Można określić zakres, w którym jest udzielany dostęp. Domyślnie jest to wybrana subskrypcja. Zakres przypisania można określić przy użyciu jednej z następujących kombinacji parametrów a. Zakres — jest to w pełni kwalifikowany zakres rozpoczynający się od /subscriptions/<subscriptionId>. Spowoduje to filtrowanie przypisań, które są skuteczne w danym zakresie, tj. wszystkich przypisań w tym zakresie i powyżej. b. ResourceGroupName — nazwa dowolnej grupy zasobów w ramach subskrypcji. Spowoduje to filtrowanie przypisań obowiązujących w określonej grupie zasobów c. ResourceName, ResourceType, ResourceGroupName i (opcjonalnie) ParentResource — identyfikuje określony zasób w ramach subskrypcji i filtruje przypisania obowiązujące w tym zakresie zasobów. Aby określić, jaki dostęp ma określony użytkownik w subskrypcji, użyj przełącznika ExpandPrincipalGroups. Spowoduje to wyświetlenie listy wszystkich ról przypisanych do użytkownika oraz grup, których członkiem jest użytkownik. Użyj przełącznika IncludeClassicAdministrators, aby również wyświetlić administratorów subskrypcji i współadministratorów.

Przykłady

Przykład 1

Get-AzRoleAssignment

Wyświetlanie listy wszystkich przypisań ról w subskrypcji

Przykład 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

Pobiera wszystkie przypisania ról wykonane do użytkownika john.doe@contoso.comi grupy, których jest członkiem, w zakresie testRG lub powyżej.

Przykład 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

Pobiera wszystkie przypisania ról określonej jednostki usługi

Przykład 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Pobiera przypisania ról w zakresie witryny internetowej "site1".

Parametry

-DefaultProfile

Poświadczenia, konto, dzierżawa i subskrypcja używane do komunikacji z platformą Azure

Typ:IAzureContextContainer
Aliasy:AzContext, AzureRmContext, AzureCredential
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-ExpandPrincipalGroups

Jeśli zostanie określony, zwraca role przypisane bezpośrednio do użytkownika i do grup, których użytkownik jest członkiem (przechodnio). Obsługiwane tylko dla podmiotu zabezpieczeń użytkownika.

Typ:SwitchParameter
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-IncludeClassicAdministrators

Jeśli zostanie określona, wyświetla również listę przypisań ról klasycznych administratorów subskrypcji (współadministratorów, administratorów usługi itp.).

Typ:SwitchParameter
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

-ObjectId

Identyfikator ObjectId firmy Microsoft użytkownika, grupy lub jednostki usługi. Filtruje wszystkie przypisania, które są wykonywane do określonego podmiotu zabezpieczeń.

Typ:String
Aliasy:Id, PrincipalId
Position:Named
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:True
Akceptowanie symboli wieloznacznych:False

-ParentResource

Zasób nadrzędny w hierarchii zasobu określonego przy użyciu parametru ResourceName. Należy używać w połączeniu z parametrami ResourceGroupName, ResourceType i ResourceName.

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:True
Akceptowanie symboli wieloznacznych:False

-ResourceGroupName

Nazwa grupy zasobów. Wyświetla listę przypisań ról, które są skuteczne w określonej grupie zasobów. W połączeniu z parametrami ResourceName, ResourceType i ParentResource polecenie wyświetla listę przypisań obowiązujących w zasobach w grupie zasobów.

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:True
Akceptowanie symboli wieloznacznych:False

-ResourceName

Nazwa zasobu. Na przykład storageaccountprod. Należy używać w połączeniu z parametrami ResourceGroupName, ResourceType i (opcjonalnie)ParentResource.

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:True
Akceptowanie symboli wieloznacznych:False

-ResourceType

Typ zasobu. Na przykład Microsoft.Network/virtualNetworks. Należy używać w połączeniu z parametrami ResourceGroupName, ResourceName i (opcjonalnie)ParentResource.

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:True
Akceptowanie symboli wieloznacznych:False

-RoleDefinitionId

Identyfikator roli przypisanej do podmiotu zabezpieczeń.

Typ:Guid
Position:Named
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:True
Akceptowanie symboli wieloznacznych:False

-RoleDefinitionName

Rola przypisana do podmiotu zabezpieczeń, np. Czytelnik, Współautor, Administrator sieci wirtualnej itp.

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:True
Akceptowanie symboli wieloznacznych:False

-Scope

Zakres przypisania roli. W formacie względnego identyfikatora URI. Na przykład /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Musi zaczynać się od ciągu "/subscriptions/{id}". Polecenie filtruje wszystkie przypisania, które są skuteczne w tym zakresie.

Typ:String
Position:Named
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:True
Akceptowanie symboli wieloznacznych:False

-ServicePrincipalName

ServicePrincipalName jednostki usługi. Filtruje wszystkie przypisania, które są wykonywane w określonej aplikacji Firmy Microsoft Entra.

Typ:String
Aliasy:SPN
Position:Named
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:True
Akceptowanie symboli wieloznacznych:False

-SignInName

Adres e-mail lub główna nazwa użytkownika użytkownika. Filtruje wszystkie przypisania, które są wykonywane dla określonego użytkownika.

Typ:String
Aliasy:Email, UserPrincipalName
Position:Named
Domyślna wartość:None
Wymagane:True
Akceptowanie danych wejściowych potoku:True
Akceptowanie symboli wieloznacznych:False

-SkipClientSideScopeValidation

Jeśli zostanie określony, pomiń walidację zakresu po stronie klienta.

Typ:SwitchParameter
Position:Named
Domyślna wartość:None
Wymagane:False
Akceptowanie danych wejściowych potoku:False
Akceptowanie symboli wieloznacznych:False

Dane wejściowe

String

Guid

Dane wyjściowe

PSRoleAssignment

Uwagi

Słowa kluczowe: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment