az role assignment

Gerenciar atribuições de função.

Comandos

Nome Description Tipo Status
az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

Núcleo GA
az role assignment delete

Excluir atribuições de função.

Núcleo GA
az role assignment list

Listar atribuições de função.

Núcleo GA
az role assignment list-changelogs

Listar logs de alterações para atribuições de função.

Núcleo GA
az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

Núcleo GA

az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Exemplos

Crie atribuição de função para conceder ao destinatário especificado a função Leitor em uma máquina virtual do Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Crie atribuição de função para um destinatário com descrição e condição.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Crie atribuição de função com seu próprio nome de atribuição.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Parâmetros Exigidos

--role

Nome da função ou id.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parâmetros Opcionais

--assignee

Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--assignee' para ignorar a invocação da Graph API em caso de privilégios insuficientes. Esse parâmetro só funciona com ids de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use o id principal. Para entidades de serviço, use a ID do objeto e não a ID do aplicativo.

--assignee-principal-type

Use com --assignee-object-id para evitar erros causados pela latência de propagação no AAD Graph.

valores aceitos: ForeignGroup, Group, ServicePrincipal, User
--condition
Versão Prévia

Condição sob a qual o usuário pode receber permissão.

--condition-version
Versão Prévia

Versão da sintaxe da condição. Se --condition for especificado sem --condition-version, o padrão será 2.0.

--description
Versão Prévia

Descrição da atribuição de função.

--name -n

Um GUID para a atribuição de função. Ele deve ser exclusivo e diferente para cada atribuição de função. Se omitido, um novo GUID é gerado.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az role assignment delete

Excluir atribuições de função.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Exemplos

Excluir atribuições de função. (gerado automaticamente)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parâmetros Opcionais

--assignee

Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--ids

IDs de atribuição de função separados por espaço.

--include-inherited

Incluir atribuições aplicadas em escopos pai.

valor padrão: False
--resource-group -g

Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--role

Nome da função ou id.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Continue a excluir todas as atribuições sob a assinatura.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az role assignment list

Listar atribuições de função.

Por padrão, somente as atribuições de escopo para a assinatura serão exibidas. Para exibir as atribuições de escopo por grupo ou recurso, use --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Parâmetros Opcionais

--all

Mostrar todas as atribuições na assinatura atual.

valor padrão: False
--assignee

Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--include-classic-administrators

Listar atribuições de função padrão para administradores clássicos de assinatura, também conhecidos como coadministradores.

valores aceitos: false, true
valor padrão: False
--include-groups

Inclua atribuições extras para os grupos dos quais o usuário é membro (transitivamente).

valor padrão: False
--include-inherited

Incluir atribuições aplicadas em escopos pai.

valor padrão: False
--resource-group -g

Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--role

Nome da função ou id.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az role assignment list-changelogs

Listar logs de alterações para atribuições de função.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parâmetros Opcionais

--end-time

A hora de término da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é a hora atual.

--start-time

A hora de início da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é 1 hora antes da hora atual.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

az role assignment update --role-assignment

Exemplos

Atualizar uma atribuição de função a partir de um arquivo JSON.

az role assignment update --role-assignment assignment.json

Atualize uma atribuição de função a partir de uma cadeia de caracteres JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parâmetros Exigidos

--role-assignment

Descrição de uma atribuição de função existente como JSON ou um caminho para um arquivo que contém uma descrição JSON.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.