az role assignment

Gerenciar atribuições de função.

Comandos

az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

az role assignment delete

Excluir atribuições de função.

az role assignment list

Listar atribuições de função.

az role assignment list-changelogs

Listar os changelogs para atribuições de função.

az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]

Exemplos

Crie uma atribuição de função para um atribuídor.

az role assignment create --assignee sp_name --role a_role

Crie uma atribuição de função para um atribuídor com descrição e condição.

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço. (gerado automaticamente)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Parâmetros Exigidos

--role

Nome da função ou id.

Parâmetros Opcionais

--assignee

Representar um usuário, um grupo ou uma entidade de serviço. formato com suporte: id de objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--assignee' para ignorar API do Graph invocação em caso de privilégios insuficientes. Esse parâmetro funciona apenas com IDs de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use a ID da entidade de segurança. Para entidades de serviço, use a ID do objeto e não a ID do aplicativo.

--assignee-principal-type

Use com --assignee-object-id para evitar erros causados pela latência de propagação no AAD Graph.

valores aceitos: ForeignGroup, Group, ServicePrincipal, User
--condition

Condição sob a qual o usuário pode receber permissão.

--condition-version

Versão da sintaxe da condição. Se --condition for especificado sem --condition-version, padrão para 2.0.

--description

Descrição da atribuição de função.

--resource-group -g

Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment delete

Excluir atribuições de função.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Exemplos

Excluir atribuições de função. (gerado automaticamente)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parâmetros Opcionais

--assignee

Representar um usuário, um grupo ou uma entidade de serviço. formato com suporte: id de objeto, nome de entrada do usuário ou nome da entidade de serviço.

--ids

IDs de atribuição de função separadas por espaço.

--include-inherited

Inclua atribuições aplicadas em escopos pai.

--resource-group -g

Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--role

Nome da função ou id.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Continue a excluir todas as atribuições na assinatura.

az role assignment list

Listar atribuições de função.

Por padrão, somente as atribuições de escopo para a assinatura serão exibidas. Para exibir as atribuições de escopo por grupo ou recurso, use --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Parâmetros Opcionais

--all

Mostrar todas as atribuições na assinatura atual.

--assignee

Representar um usuário, um grupo ou uma entidade de serviço. formato com suporte: id de objeto, nome de entrada do usuário ou nome da entidade de serviço.

--include-classic-administrators

Listar atribuições de função padrão para administradores clássicos de assinatura, também conhecidos como coadministradores.

valores aceitos: false, true
--include-groups

Inclua atribuições extras para os grupos dos quais o usuário é membro (transitivamente).

--include-inherited

Inclua atribuições aplicadas em escopos pai.

--resource-group -g

Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.

--role

Nome da função ou id.

--scope

Escopo ao qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333/resourceGroups/myGroup ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment list-changelogs

Listar os changelogs para atribuições de função.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parâmetros Opcionais

--end-time

A hora final da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é a hora atual.

--start-time

A hora de início da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é 1 hora antes da hora atual.

az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

az role assignment update --role-assignment

Exemplos

Atualize uma atribuição de função de um arquivo JSON.

az role assignment update --role-assignment assignment.json

Atualize uma atribuição de função de uma cadeia de caracteres JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parâmetros Exigidos

--role-assignment

Descrição de uma atribuição de função existente como JSON ou um caminho para um arquivo que contém uma descrição JSON.