az role assignment
Gerenciar atribuições de função.
Comandos
| Nome | Description | Tipo | Status |
|---|---|---|---|
| az role assignment create |
Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço. |
Core | GA |
| az role assignment delete |
Excluir atribuições de função. |
Core | GA |
| az role assignment list |
Listar atribuições de função. |
Core | GA |
| az role assignment list-changelogs |
Listar os changelogs para atribuições de função. |
Core | GA |
| az role assignment update |
Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço. |
Core | GA |
az role assignment create
Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]Exemplos
Crie uma atribuição de função para conceder ao destinatário especificado a função de Leitor em uma máquina virtual do Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVmCrie uma atribuição de função para um destinatário com descrição e condição.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"Crie uma atribuição de função com seu próprio nome de atribuição.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000Parâmetros Exigidos
Nome ou ID da função.
Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Parâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem se tornar obrigatórios para que o comando seja executado com sucesso.
Representar um usuário, grupo ou entidade de serviço. Formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.
A ID do objeto do destinatário (também conhecida como ID principal). Use esse argumento em vez de '--assignee' para ignorar a consulta do Microsoft Graph caso a conta conectada não tenha permissão ou o computador não tenha acesso à rede para consultar o Microsoft Graph.
Use com --assignee-object-id para evitar erros causados pela latência de propagação no Microsoft Graph.
| Propriedade | Valor |
|---|---|
| Valores aceitos: | ForeignGroup, Group, ServicePrincipal, User |
Condição sob a qual o usuário pode receber permissão.
Versão da sintaxe da condição. Se --condition for especificado sem --condition-version, o padrão será 2.0.
Descrição da atribuição de função.
Um GUID para a atribuição de função. Ele deve ser exclusivo e diferente para cada atribuição de função. Se omitido, um novo GUID será gerado.
Parâmetros Globais
Aumente a verbosidade de log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Mostre esta mensagem de ajuda e saia.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Valor padrão: | json |
| Valores aceitos: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
az role assignment delete
Excluir atribuições de função.
Esse comando exclui todas as atribuições de função que atendem à condição de consulta fornecida. Antes de executar esse comando, é altamente recomendável executar az role assignment list primeiro com os mesmos argumentos para ver quais atribuições de função serão excluídas.
az role assignment delete [--assignee]
[--assignee-object-id]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]Exemplos
Exclua todas as atribuições de função com a função "Leitor" no escopo da assinatura.
az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Exclua todas as atribuições de função de um atribuído no escopo da assinatura.
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Exclua todas as atribuições de função de um destinatário (com sua ID de objeto) no escopo da assinatura.
az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Parâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem se tornar obrigatórios para que o comando seja executado com sucesso.
Representar um usuário, grupo ou entidade de serviço. Formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.
A ID do objeto do destinatário (também conhecida como ID principal). Use esse argumento em vez de '--assignee' para ignorar a consulta do Microsoft Graph caso a conta conectada não tenha permissão ou o computador não tenha acesso à rede para consultar o Microsoft Graph.
IDs de atribuição de função separadas por espaço.
Inclua atribuições aplicadas em escopos pai.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Use-a somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.
Nome ou ID da função.
Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Atualmente no-op.
Parâmetros Globais
Aumente a verbosidade de log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Mostre esta mensagem de ajuda e saia.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Valor padrão: | json |
| Valores aceitos: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
az role assignment list
Listar atribuições de função.
Por padrão, somente as atribuições no escopo da assinatura serão exibidas. Para exibir atribuições com escopo por recurso ou grupo, use --all.
az role assignment list [--all]
[--assignee]
[--assignee-object-id]
[--fill-principal-name {false, true}]
[--fill-role-definition-name {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]Exemplos
Listar atribuições de função no escopo da assinatura.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000Listar atribuições de função no escopo da assinatura, sem preencher a propriedade roleDefinitionName.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name falseListar atribuições de função com a função "Leitor" no escopo da assinatura.
az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Listar as atribuições de função de um destinatário no escopo da assinatura.
az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Listar atribuições de função de um destinatário (com sua ID de objeto) no escopo da assinatura, sem preencher a propriedade principalName. Esse comando não consulta o Microsoft Graph.
az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name falseParâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem se tornar obrigatórios para que o comando seja executado com sucesso.
Mostrar todas as atribuições na assinatura atual.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Representar um usuário, grupo ou entidade de serviço. Formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.
A ID do objeto do destinatário (também conhecida como ID principal). Use esse argumento em vez de '--assignee' para ignorar a consulta do Microsoft Graph caso a conta conectada não tenha permissão ou o computador não tenha acesso à rede para consultar o Microsoft Graph.
Consulte o Microsoft Graph para obter o userPrincipalName (para usuário), servicePrincipalNames (para entidade de serviço) ou displayName (para grupo) do destinatário e preencha a propriedade principalName com ele. Se a conta conectada não tiver permissão ou o computador não tiver acesso à rede para consultar o Microsoft Graph, defina esse sinalizador como false para evitar aviso ou erro.
| Propriedade | Valor |
|---|---|
| Valor padrão: | True |
| Valores aceitos: | false, true |
Preencha a propriedade roleDefinitionName além de roleDefinitionId. Esta operação é cara. Se você encontrar um problema de desempenho, defina esse sinalizador como false.
| Propriedade | Valor |
|---|---|
| Valor padrão: | True |
| Valores aceitos: | false, true |
Inclua atribuições extras para os grupos dos quais o usuário é membro (transitivamente).
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Inclua atribuições aplicadas em escopos pai.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Use-a somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.
Nome ou ID da função.
Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Parâmetros Globais
Aumente a verbosidade de log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Mostre esta mensagem de ajuda e saia.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Valor padrão: | json |
| Valores aceitos: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
az role assignment list-changelogs
Listar os changelogs para atribuições de função.
az role assignment list-changelogs [--end-time]
[--start-time]Parâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem se tornar obrigatórios para que o comando seja executado com sucesso.
A hora de término da consulta no formato de %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é a hora atual.
A hora de início da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é 1 hora antes da hora atual.
Parâmetros Globais
Aumente a verbosidade de log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Mostre esta mensagem de ajuda e saia.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Valor padrão: | json |
| Valores aceitos: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
az role assignment update
Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.
az role assignment update --role-assignmentExemplos
Atualize uma atribuição de função de um arquivo JSON.
az role assignment update --role-assignment assignment.jsonAtualize uma atribuição de função de uma cadeia de caracteres JSON. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'Parâmetros Exigidos
Descrição de uma atribuição de função existente como JSON ou um caminho para um arquivo que contém uma descrição JSON.
Parâmetros Globais
Aumente a verbosidade de log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Mostre esta mensagem de ajuda e saia.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Valor padrão: | json |
| Valores aceitos: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Valor padrão: | False |
