Compartilhar via

az role assignment

Gerenciar atribuições de função.

Comandos

Nome Description Tipo Status
az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

 Core GA
az role assignment delete

Excluir atribuições de função.

 Core GA
az role assignment list

Listar atribuições de função.

 Core GA
az role assignment list-changelogs

Listar os changelogs para atribuições de função.

 Core GA
az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

 Core GA

az role assignment create

Editar

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Exemplos

Crie uma atribuição de função para conceder ao destinatário especificado a função de Leitor em uma máquina virtual do Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Crie uma atribuição de função para um destinatário com descrição e condição.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Crie uma atribuição de função com seu próprio nome de atribuição.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Parâmetros Exigidos

--role

Nome ou ID da função.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parâmetros Opcionais

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--assignee

Representar um usuário, grupo ou entidade de serviço. Formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

A ID do objeto do destinatário (também conhecida como ID principal). Use esse argumento em vez de '--assignee' para ignorar a consulta do Microsoft Graph caso a conta conectada não tenha permissão ou o computador não tenha acesso à rede para consultar o Microsoft Graph.

--assignee-principal-type

Use com --assignee-object-id para evitar erros causados pela latência de propagação no Microsoft Graph.

Propriedade Valor
Valores aceitos: ForeignGroup, Group, ServicePrincipal, User
--condition
Versão Prévia

Condição sob a qual o usuário pode receber permissão.

--condition-version
Versão Prévia

Versão da sintaxe da condição. Se --condition for especificado sem --condition-version, o padrão será 2.0.

--description
Versão Prévia

Descrição da atribuição de função.

--name -n

Um GUID para a atribuição de função. Ele deve ser exclusivo e diferente para cada atribuição de função. Se omitido, um novo GUID será gerado.

Parâmetros Globais
--debug

Aumente a verbosidade de log para mostrar todos os logs de depuração.

Propriedade Valor
Valor padrão: False
--help -h

Mostre esta mensagem de ajuda e saia.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

Propriedade Valor
Valor padrão: False
--output -o

Output format.

Propriedade Valor
Valor padrão: json
Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.

Propriedade Valor
Valor padrão: False

az role assignment delete

Editar

Excluir atribuições de função.

Esse comando exclui todas as atribuições de função que atendem à condição de consulta fornecida. Antes de executar esse comando, é altamente recomendável executar az role assignment list primeiro com os mesmos argumentos para ver quais atribuições de função serão excluídas.

az role assignment delete [--assignee]
                          [--assignee-object-id]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Exemplos

Exclua todas as atribuições de função com a função "Leitor" no escopo da assinatura.

az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Exclua todas as atribuições de função de um atribuído no escopo da assinatura.

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Exclua todas as atribuições de função de um destinatário (com sua ID de objeto) no escopo da assinatura.

az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Parâmetros Opcionais

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--assignee

Representar um usuário, grupo ou entidade de serviço. Formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

A ID do objeto do destinatário (também conhecida como ID principal). Use esse argumento em vez de '--assignee' para ignorar a consulta do Microsoft Graph caso a conta conectada não tenha permissão ou o computador não tenha acesso à rede para consultar o Microsoft Graph.

--ids

IDs de atribuição de função separadas por espaço.

--include-inherited

Inclua atribuições aplicadas em escopos pai.

Propriedade Valor
Valor padrão: False
--resource-group -g

Use-a somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--role

Nome ou ID da função.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Currently no-op.

Parâmetros Globais
--debug

Aumente a verbosidade de log para mostrar todos os logs de depuração.

Propriedade Valor
Valor padrão: False
--help -h

Mostre esta mensagem de ajuda e saia.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

Propriedade Valor
Valor padrão: False
--output -o

Output format.

Propriedade Valor
Valor padrão: json
Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.

Propriedade Valor
Valor padrão: False

az role assignment list

Editar

Listar atribuições de função.

Por padrão, somente as atribuições no escopo da assinatura serão exibidas. Para exibir atribuições com escopo por recurso ou grupo, use --all.

az role assignment list [--all]
                        [--assignee]
                        [--assignee-object-id]
                        [--fill-principal-name {false, true}]
                        [--fill-role-definition-name {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Exemplos

Listar atribuições de função no escopo da assinatura.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000

Listar atribuições de função no escopo da assinatura, sem preencher a propriedade roleDefinitionName.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false

Listar atribuições de função com a função "Leitor" no escopo da assinatura.

az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Listar as atribuições de função de um destinatário no escopo da assinatura.

az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Listar atribuições de função de um destinatário (com sua ID de objeto) no escopo da assinatura, sem preencher a propriedade principalName. Esse comando não consulta o Microsoft Graph.

az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false

Parâmetros Opcionais

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--all

Mostrar todas as atribuições na assinatura atual.

Propriedade Valor
Valor padrão: False
--assignee

Representar um usuário, grupo ou entidade de serviço. Formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

A ID do objeto do destinatário (também conhecida como ID principal). Use esse argumento em vez de '--assignee' para ignorar a consulta do Microsoft Graph caso a conta conectada não tenha permissão ou o computador não tenha acesso à rede para consultar o Microsoft Graph.

--fill-principal-name

Consulte o Microsoft Graph para obter o userPrincipalName (para usuário), servicePrincipalNames (para entidade de serviço) ou displayName (para grupo) do destinatário e preencha a propriedade principalName com ele. Se a conta conectada não tiver permissão ou o computador não tiver acesso à rede para consultar o Microsoft Graph, defina esse sinalizador como false para evitar aviso ou erro.

Propriedade Valor
Valor padrão: True
Valores aceitos: false, true
--fill-role-definition-name

Preencha a propriedade roleDefinitionName além de roleDefinitionId. Esta operação é cara. Se você encontrar um problema de desempenho, defina esse sinalizador como false.

Propriedade Valor
Valor padrão: True
Valores aceitos: false, true
--include-groups

Inclua atribuições extras para os grupos dos quais o usuário é membro (transitivamente).

Propriedade Valor
Valor padrão: False
--include-inherited

Inclua atribuições aplicadas em escopos pai.

Propriedade Valor
Valor padrão: False
--resource-group -g

Use-a somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--role

Nome ou ID da função.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parâmetros Globais
--debug

Aumente a verbosidade de log para mostrar todos os logs de depuração.

Propriedade Valor
Valor padrão: False
--help -h

Mostre esta mensagem de ajuda e saia.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

Propriedade Valor
Valor padrão: False
--output -o

Output format.

Propriedade Valor
Valor padrão: json
Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.

Propriedade Valor
Valor padrão: False

az role assignment list-changelogs

Editar

Listar os changelogs para atribuições de função.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parâmetros Opcionais

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--end-time

A hora de término da consulta no formato de %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é a hora atual.

--start-time

A hora de início da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é 1 hora antes da hora atual.

Parâmetros Globais
--debug

Aumente a verbosidade de log para mostrar todos os logs de depuração.

Propriedade Valor
Valor padrão: False
--help -h

Mostre esta mensagem de ajuda e saia.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

Propriedade Valor
Valor padrão: False
--output -o

Output format.

Propriedade Valor
Valor padrão: json
Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.

Propriedade Valor
Valor padrão: False

az role assignment update

Editar

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

az role assignment update --role-assignment

Exemplos

Atualize uma atribuição de função de um arquivo JSON.

az role assignment update --role-assignment assignment.json

Atualize uma atribuição de função de uma cadeia de caracteres JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parâmetros Exigidos

--role-assignment

Descrição de uma atribuição de função existente como JSON ou um caminho para um arquivo que contém uma descrição JSON.

Parâmetros Globais
--debug

Aumente a verbosidade de log para mostrar todos os logs de depuração.

Propriedade Valor
Valor padrão: False
--help -h

Mostre esta mensagem de ajuda e saia.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

Propriedade Valor
Valor padrão: False
--output -o

Output format.

Propriedade Valor
Valor padrão: json
Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar a verbosidade do registro em log. Use --debug para logs de depuração completos.

Propriedade Valor
Valor padrão: False