Compartilhar via


az role assignment

Gerenciar atribuições de função.

Comandos

Nome Description Tipo Status
az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

Núcleo GA
az role assignment delete

Exclua atribuições de função.

Núcleo GA
az role assignment list

Listar atribuições de função.

Núcleo GA
az role assignment list-changelogs

Listar logs de alterações para atribuições de função.

Núcleo GA
az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

Núcleo GA

az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Exemplos

Crie uma atribuição de função para conceder ao destinatário especificado a função de Leitor em uma máquina virtual do Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Crie uma atribuição de função para um destinatário com descrição e condição.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Crie uma atribuição de função com seu próprio nome de atribuição.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Parâmetros Exigidos

--role

Nome ou ID da função.

--scope

Escopo no qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parâmetros Opcionais

--assignee

Representar um usuário, grupo ou entidade de serviço. Formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--assignee' para ignorar a invocação da API do Graph em caso de privilégios insuficientes. Esse parâmetro só funciona com IDs de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use a ID da entidade de segurança. Para entidades de serviço, use a ID do objeto e não a ID do aplicativo.

--assignee-principal-type

Use com --assignee-object-id para evitar erros causados pela latência de propagação no Microsoft Graph.

Valores aceitos: ForeignGroup, Group, ServicePrincipal, User
--condition
Versão Prévia

Condição sob a qual o usuário pode receber permissão.

--condition-version
Versão Prévia

Versão da sintaxe da condição. Se --condition for especificado sem --condition-version, o padrão será 2.0.

--description
Versão Prévia

Descrição da atribuição de função.

--name -n

Um GUID para a atribuição de função. Ele deve ser exclusivo e diferente para cada atribuição de função. Se omitido, um novo GUID será gerado.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az role assignment delete

Exclua atribuições de função.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Exemplos

Exclua atribuições de função. (gerado automaticamente)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parâmetros Opcionais

--assignee

Representar um usuário, grupo ou entidade de serviço. Formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--ids

IDs de atribuição de função separadas por espaço.

--include-inherited

Inclua atribuições aplicadas em escopos pai.

Valor padrão: False
--resource-group -g

Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--role

Nome ou ID da função.

--scope

Escopo no qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Continue a excluir todas as atribuições da assinatura.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az role assignment list

Listar atribuições de função.

Por padrão, somente as atribuições de escopo para a assinatura serão exibidas. Para exibir as atribuições de escopo por grupo ou recurso, use --all.

[ATENÇÃO] Os administradores de assinatura clássica do Azure serão desativados em 31 de agosto de 2024. Após 31 de agosto de 2024, todos os administradores clássicos correm o risco de perder o acesso à assinatura. Exclua os administradores clássicos que não precisam mais de acesso ou atribua uma função RBAC do Azure para controle de acesso refinado. Saiba mais: https://go.microsoft.com/fwlink/?linkid=2238474.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Parâmetros Opcionais

--all

Mostrar todas as atribuições na assinatura atual.

Valor padrão: False
--assignee

Representar um usuário, grupo ou entidade de serviço. Formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--include-classic-administrators
Preterido

A opção '--include-classic-administrators' foi descontinuada e será removida em uma versão futura.

Listar atribuições de função padrão para administradores clássicos de assinatura, também conhecidos como coadministradores.

Valores aceitos: false, true
Valor padrão: False
--include-groups

Inclua atribuições extras para os grupos dos quais o usuário é membro (transitivamente).

Valor padrão: False
--include-inherited

Inclua atribuições aplicadas em escopos pai.

Valor padrão: False
--resource-group -g

Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--role

Nome ou ID da função.

--scope

Escopo no qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az role assignment list-changelogs

Listar logs de alterações para atribuições de função.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parâmetros Opcionais

--end-time

A hora de término da consulta no formato de %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é a hora atual.

--start-time

A hora de início da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é 1 hora antes da hora atual.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

az role assignment update --role-assignment

Exemplos

Atualize uma atribuição de função de um arquivo JSON.

az role assignment update --role-assignment assignment.json

Atualize uma atribuição de função de uma cadeia de caracteres JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parâmetros Exigidos

--role-assignment

Descrição de uma atribuição de função existente como JSON ou um caminho para um arquivo que contém uma descrição JSON.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.