Get-AzRoleAssignment
Wyświetla listę przypisań ról RBAC platformy Azure w określonym zakresie. Domyślnie wyświetla listę wszystkich przypisań ról w wybranej subskrypcji platformy Azure. Użyj odpowiednich parametrów, aby wyświetlić listę przypisań do określonego użytkownika lub wyświetlić listę przypisań w określonej grupie zasobów lub zasobie.
Polecenie cmdlet może wywołać poniższy interfejs API programu Microsoft Graph zgodnie z parametrami wejściowymi:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
- POST /directoryObjects/getByIds
Zwróć uwagę, że to polecenie cmdlet będzie oznaczać ObjectType
jako Unknown
dane wyjściowe, jeśli obiekt przypisania roli nie zostanie znaleziony lub bieżące konto ma niewystarczające uprawnienia do pobrania typu obiektu.
Składnia
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
[-ObjectId <String>]
-RoleDefinitionId <Guid>
[-Scope <String>]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Opis
Użyj polecenia Get-AzRoleAssignment, aby wyświetlić listę wszystkich przypisań ról, które obowiązują w zakresie. Bez żadnych parametrów to polecenie zwraca wszystkie przypisania ról dokonane w ramach subskrypcji. Tę listę można filtrować przy użyciu parametrów filtrowania dla podmiotu zabezpieczeń, roli i zakresu. Należy określić temat przypisania. Aby określić użytkownika, użyj parametrów SignInName lub Microsoft Entra ObjectId. Aby określić grupę zabezpieczeń, użyj parametru Microsoft Entra ObjectId. Aby określić aplikację Microsoft Entra, użyj parametrów ServicePrincipalName lub ObjectId. Przypisaną rolę należy określić przy użyciu parametru RoleDefinitionName. Można określić zakres, w którym jest udzielany dostęp. Domyślnie jest to wybrana subskrypcja. Zakres przypisania można określić przy użyciu jednej z następujących kombinacji parametrów a. Zakres — jest to w pełni kwalifikowany zakres rozpoczynający się od /subscriptions/<subscriptionId>. Spowoduje to filtrowanie przypisań, które są skuteczne w danym zakresie, tj. wszystkich przypisań w tym zakresie i powyżej. b. ResourceGroupName — nazwa dowolnej grupy zasobów w ramach subskrypcji. Spowoduje to filtrowanie przypisań obowiązujących w określonej grupie zasobów c. ResourceName, ResourceType, ResourceGroupName i (opcjonalnie) ParentResource — identyfikuje określony zasób w ramach subskrypcji i filtruje przypisania obowiązujące w tym zakresie zasobów. Aby określić, jaki dostęp ma określony użytkownik w subskrypcji, użyj przełącznika ExpandPrincipalGroups. Spowoduje to wyświetlenie listy wszystkich ról przypisanych do użytkownika oraz grup, których członkiem jest użytkownik. Użyj przełącznika IncludeClassicAdministrators, aby również wyświetlić administratorów subskrypcji i współadministratorów.
Przykłady
Przykład 1
Get-AzRoleAssignment
Wyświetlanie listy wszystkich przypisań ról w subskrypcji
Przykład 2
Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com
Pobiera wszystkie przypisania ról wykonane do użytkownika john.doe@contoso.comi grupy, których jest członkiem, w zakresie testRG lub powyżej.
Przykład 3
Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"
Pobiera wszystkie przypisania ról określonej jednostki usługi
Przykład 4
Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Pobiera przypisania ról w zakresie witryny internetowej "site1".
Parametry
-DefaultProfile
Poświadczenia, konto, dzierżawa i subskrypcja używane do komunikacji z platformą Azure
Typ: | IAzureContextContainer |
Aliasy: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-ExpandPrincipalGroups
Jeśli zostanie określony, zwraca role przypisane bezpośrednio do użytkownika i do grup, których użytkownik jest członkiem (przechodnio). Obsługiwane tylko dla podmiotu zabezpieczeń użytkownika.
Typ: | SwitchParameter |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-IncludeClassicAdministrators
Jeśli zostanie określona, wyświetla również listę przypisań ról klasycznych administratorów subskrypcji (współadministratorów, administratorów usługi itp.).
Typ: | SwitchParameter |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
-ObjectId
Identyfikator ObjectId firmy Microsoft użytkownika, grupy lub jednostki usługi. Filtruje wszystkie przypisania, które są wykonywane do określonego podmiotu zabezpieczeń.
Typ: | String |
Aliasy: | Id, PrincipalId |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | True |
Akceptowanie danych wejściowych potoku: | True |
Akceptowanie symboli wieloznacznych: | False |
-ParentResource
Zasób nadrzędny w hierarchii zasobu określonego przy użyciu parametru ResourceName. Należy używać w połączeniu z parametrami ResourceGroupName, ResourceType i ResourceName.
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | True |
Akceptowanie symboli wieloznacznych: | False |
-ResourceGroupName
Nazwa grupy zasobów. Wyświetla listę przypisań ról, które są skuteczne w określonej grupie zasobów. W połączeniu z parametrami ResourceName, ResourceType i ParentResource polecenie wyświetla listę przypisań obowiązujących w zasobach w grupie zasobów.
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | True |
Akceptowanie danych wejściowych potoku: | True |
Akceptowanie symboli wieloznacznych: | False |
-ResourceName
Nazwa zasobu. Na przykład storageaccountprod. Należy używać w połączeniu z parametrami ResourceGroupName, ResourceType i (opcjonalnie)ParentResource.
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | True |
Akceptowanie danych wejściowych potoku: | True |
Akceptowanie symboli wieloznacznych: | False |
-ResourceType
Typ zasobu. Na przykład Microsoft.Network/virtualNetworks. Należy używać w połączeniu z parametrami ResourceGroupName, ResourceName i (opcjonalnie)ParentResource.
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | True |
Akceptowanie danych wejściowych potoku: | True |
Akceptowanie symboli wieloznacznych: | False |
-RoleDefinitionId
Identyfikator roli przypisanej do podmiotu zabezpieczeń.
Typ: | Guid |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | True |
Akceptowanie danych wejściowych potoku: | True |
Akceptowanie symboli wieloznacznych: | False |
-RoleDefinitionName
Rola przypisana do podmiotu zabezpieczeń, np. Czytelnik, Współautor, Administrator sieci wirtualnej itp.
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | True |
Akceptowanie symboli wieloznacznych: | False |
-Scope
Zakres przypisania roli. W formacie względnego identyfikatora URI. Na przykład /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Musi zaczynać się od ciągu "/subscriptions/{id}". Polecenie filtruje wszystkie przypisania, które są skuteczne w tym zakresie.
Typ: | String |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | True |
Akceptowanie danych wejściowych potoku: | True |
Akceptowanie symboli wieloznacznych: | False |
-ServicePrincipalName
ServicePrincipalName jednostki usługi. Filtruje wszystkie przypisania, które są wykonywane w określonej aplikacji Firmy Microsoft Entra.
Typ: | String |
Aliasy: | SPN |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | True |
Akceptowanie danych wejściowych potoku: | True |
Akceptowanie symboli wieloznacznych: | False |
-SignInName
Adres e-mail lub główna nazwa użytkownika użytkownika. Filtruje wszystkie przypisania, które są wykonywane dla określonego użytkownika.
Typ: | String |
Aliasy: | Email, UserPrincipalName |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | True |
Akceptowanie danych wejściowych potoku: | True |
Akceptowanie symboli wieloznacznych: | False |
-SkipClientSideScopeValidation
Jeśli zostanie określony, pomiń walidację zakresu po stronie klienta.
Typ: | SwitchParameter |
Position: | Named |
Domyślna wartość: | None |
Wymagane: | False |
Akceptowanie danych wejściowych potoku: | False |
Akceptowanie symboli wieloznacznych: | False |
Dane wejściowe
Dane wyjściowe
Uwagi
Słowa kluczowe: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment