az role assignment
Gerenciar atribuições de função.
Comandos
Nome | Description | Tipo | Status |
---|---|---|---|
az role assignment create |
Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço. |
Núcleo | GA |
az role assignment delete |
Excluir atribuições de função. |
Núcleo | GA |
az role assignment list |
Listar atribuições de função. |
Núcleo | GA |
az role assignment list-changelogs |
Listar logs de alterações para atribuições de função. |
Núcleo | GA |
az role assignment update |
Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço. |
Núcleo | GA |
az role assignment create
Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]
Exemplos
Crie atribuição de função para conceder ao destinatário especificado a função Leitor em uma máquina virtual do Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm
Crie atribuição de função para um destinatário com descrição e condição.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"
Crie atribuição de função com seu próprio nome de atribuição.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000
Parâmetros Exigidos
Nome da função ou id.
Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Parâmetros Opcionais
Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.
Use esse parâmetro em vez de '--assignee' para ignorar a invocação da Graph API em caso de privilégios insuficientes. Esse parâmetro só funciona com ids de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use o id principal. Para entidades de serviço, use a ID do objeto e não a ID do aplicativo.
Use com --assignee-object-id para evitar erros causados pela latência de propagação no Microsoft Graph.
Condição sob a qual o usuário pode receber permissão.
Versão da sintaxe da condição. Se --condition for especificado sem --condition-version, o padrão será 2.0.
Descrição da atribuição de função.
Um GUID para a atribuição de função. Ele deve ser exclusivo e diferente para cada atribuição de função. Se omitido, um novo GUID é gerado.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az role assignment delete
Excluir atribuições de função.
az role assignment delete [--assignee]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]
Exemplos
Excluir atribuições de função. (gerado automaticamente)
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"
Parâmetros Opcionais
Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.
IDs de atribuição de função separados por espaço.
Incluir atribuições aplicadas em escopos pai.
Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.
Nome da função ou id.
Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Continue a excluir todas as atribuições sob a assinatura.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az role assignment list
Listar atribuições de função.
Por padrão, somente as atribuições de escopo para a assinatura serão exibidas. Para exibir as atribuições de escopo por grupo ou recurso, use --all
.
az role assignment list [--all]
[--assignee]
[--include-classic-administrators {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
Parâmetros Opcionais
Mostrar todas as atribuições na assinatura atual.
Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.
Listar atribuições de função padrão para administradores clássicos de assinatura, também conhecidos como coadministradores.
Inclua atribuições extras para os grupos dos quais o usuário é membro (transitivamente).
Incluir atribuições aplicadas em escopos pai.
Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.
Nome da função ou id.
Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az role assignment list-changelogs
Listar logs de alterações para atribuições de função.
az role assignment list-changelogs [--end-time]
[--start-time]
Parâmetros Opcionais
A hora de término da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é a hora atual.
A hora de início da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é 1 hora antes da hora atual.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
az role assignment update
Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.
az role assignment update --role-assignment
Exemplos
Atualizar uma atribuição de função a partir de um arquivo JSON.
az role assignment update --role-assignment assignment.json
Atualize uma atribuição de função a partir de uma cadeia de caracteres JSON. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'
Parâmetros Exigidos
Descrição de uma atribuição de função existente como JSON ou um caminho para um arquivo que contém uma descrição JSON.
Parâmetros Globais
Aumente o detalhamento do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID
.
Aumentar o detalhamento do log. Use --debug para logs de depuração completos.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de