az role assignment

Gerenciar atribuições de função.

Comandos

az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

az role assignment delete

Excluir atribuições de função.

az role assignment list

Listar atribuições de função.

az role assignment list-changelogs

Listar logs de alterações para atribuições de função.

az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]
                          [--resource-group]
                          [--scope]

Exemplos

Criar atribuição de função para um destinatário.

az role assignment create --assignee sp_name --role a_role

Crie uma atribuição de função para um destinatário com descrição e condição.

az role assignment create --role "Owner" --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço. (gerado automaticamente)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Crie uma atribuição de função com seu próprio nome de atribuição.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000 --name 00000000-0000-0000-0000-000000000000

Parâmetros Exigidos

--role

Nome ou id da função.

Parâmetros Opcionais

--assignee

Representar um usuário, um grupo ou uma entidade de serviço. formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--assignee' para ignorar API do Graph invocação em caso de privilégios insuficientes. Esse parâmetro funciona apenas com IDs de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use a ID da entidade de segurança. Para entidades de serviço, use a ID do objeto e não a ID do aplicativo.

--assignee-principal-type

Use com --assignee-object-id para evitar erros causados pela latência de propagação no AAD Graph.

valores aceitos: ForeignGroup, Group, ServicePrincipal, User
--condition

Condição sob a qual o usuário pode receber permissão.

--condition-version

Versão da sintaxe da condição. Se --condition for especificado sem --condition-version, o padrão será 2.0.

--description

Descrição da atribuição de função.

--name -n

Um GUID para a atribuição de função. Ele deve ser exclusivo e diferente para cada atribuição de função. Se omitido, um novo GUID será generetd.

--resource-group -g

Use-a somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment delete

Excluir atribuições de função.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Exemplos

Excluir atribuições de função. (gerado automaticamente)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parâmetros Opcionais

--assignee

Representar um usuário, um grupo ou uma entidade de serviço. formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--ids

IDs de atribuição de função separadas por espaço.

--include-inherited

Inclua atribuições aplicadas em escopos pai.

valor padrão: False
--resource-group -g

Use-a somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--role

Nome ou id da função.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Continue a excluir todas as atribuições na assinatura.

az role assignment list

Listar atribuições de função.

Por padrão, somente as atribuições de escopo para a assinatura serão exibidas. Para exibir as atribuições de escopo por grupo ou recurso, use --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Parâmetros Opcionais

--all

Mostrar todas as atribuições na assinatura atual.

valor padrão: False
--assignee

Representar um usuário, um grupo ou uma entidade de serviço. formato com suporte: ID do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--include-classic-administrators

Listar atribuições de função padrão para administradores clássicos de assinatura, também conhecidos como coadministradores.

valores aceitos: false, true
valor padrão: False
--include-groups

Inclua atribuições extras aos grupos dos quais o usuário é membro (transitivamente).

valor padrão: False
--include-inherited

Inclua atribuições aplicadas em escopos pai.

valor padrão: False
--resource-group -g

Use-a somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--role

Nome ou id da função.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment list-changelogs

Listar logs de alterações para atribuições de função.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parâmetros Opcionais

--end-time

A hora de término da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é a hora atual.

--start-time

A hora de início da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é 1 Hora antes da hora atual.

az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

az role assignment update --role-assignment

Exemplos

Atualizar uma atribuição de função de um arquivo JSON.

az role assignment update --role-assignment assignment.json

Atualize uma atribuição de função de uma cadeia de caracteres JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parâmetros Exigidos

--role-assignment

Descrição de uma atribuição de função existente como JSON ou um caminho para um arquivo que contém uma descrição JSON.