Get-AzRoleAssignment

Lista atribuições de funções RBAC do Azure no âmbito especificado. Por predefinição, lista todas as atribuições de funções na subscrição do Azure selecionada. Utilize os respetivos parâmetros para listar atribuições a um utilizador específico ou para listar atribuições num grupo de recursos ou recurso específico.

O cmdlet pode chamar abaixo o microsoft Graph API de acordo com os parâmetros de entrada:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}
  • POST /directoryObjects/getByIds

Tenha em atenção que este cmdlet marcará ObjectType como Unknown na saída se o objeto de atribuição de função não for encontrado ou se a conta atual tiver privilégios insuficientes para obter o tipo de objeto.

Syntax

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

Utilize o comando Get-AzRoleAssignment para listar todas as atribuições de funções que são eficazes num âmbito. Sem quaisquer parâmetros, este comando devolve todas as atribuições de funções efetuadas sob a subscrição. Esta lista pode ser filtrada através de parâmetros de filtragem para principal, função e âmbito. O assunto da atribuição tem de ser especificado. Para especificar um utilizador, utilize os parâmetros SignInName ou Azure AD ObjectId. Para especificar um grupo de segurança, utilize Azure AD parâmetro ObjectId. Para especificar uma aplicação Azure AD, utilize os parâmetros ServicePrincipalName ou ObjectId. A função que está a ser atribuída tem de ser especificada com o parâmetro RoleDefinitionName. O âmbito no qual o acesso está a ser concedido pode ser especificado. A predefinição é a subscrição selecionada. O âmbito da atribuição pode ser especificado com uma das seguintes combinações de parâmetros a. Âmbito – este é o âmbito completamente qualificado que começa com /subscriptions/<subscriptionId>. Isto irá filtrar as atribuições que são eficazes nesse âmbito específico, ou seja, todas as atribuições nesse âmbito e acima. b. ResourceGroupName - Nome de qualquer grupo de recursos na subscrição. Isto irá filtrar atribuições efetivas no grupo de recursos c especificado. ResourceName, ResourceType, ResourceGroupName e (opcionalmente) ParentResource – identifica um determinado recurso na subscrição e filtrará as atribuições efetivas nesse âmbito de recurso. Para determinar o acesso que um determinado utilizador tem na subscrição, utilize o comutador ExpandPrincipalGroups. Esta ação irá listar todas as funções atribuídas ao utilizador e aos grupos dos quais o utilizador é membro. Utilize o comutador IncludeClassicAdministrators para apresentar também os administradores e coadministradores da subscrição.

Exemplos

Exemplo 1

Get-AzRoleAssignment

Listar todas as atribuições de funções na subscrição

Exemplo 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

Obtém todas as atribuições de funções efetuadas ao utilizador john.doe@contoso.come aos grupos dos quais é membro, no âmbito testRG ou superior.

Exemplo 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

Obtém todas as atribuições de funções do principal de serviço especificado

Exemplo 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Obtém atribuições de funções no âmbito do site "site1".

Parâmetros

-DefaultProfile

As credenciais, a conta, o inquilino e a subscrição utilizadas para comunicação com o Azure

Type:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ExpandPrincipalGroups

Se especificado, devolve funções atribuídas diretamente ao utilizador e aos grupos dos quais o utilizador é membro (transitivamente). Suportada apenas para um principal de utilizador.

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-IncludeClassicAdministrators

Se especificado, também lista as atribuições de funções de administradores clássicos da subscrição (coadministradores, administradores de serviços, etc.).

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ObjectId

O Azure AD ObjectId do Utilizador, Grupo ou Principal de Serviço. Filtra todas as atribuições efetuadas ao principal especificado.

Type:String
Aliases:Id, PrincipalId
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ParentResource

O recurso principal na hierarquia do recurso especificado com o parâmetro ResourceName. Tem de ser utilizado em conjunto com os parâmetros ResourceGroupName, ResourceType e ResourceName.

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ResourceGroupName

O nome do grupo de recursos. Lista as atribuições de funções que são eficazes no grupo de recursos especificado. Quando utilizado em conjunto com os parâmetros ResourceName, ResourceType e ParentResource, o comando lista as atribuições efetivas nos recursos dentro do grupo de recursos.

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ResourceName

O nome do recurso. Por exemplo, storageaccountprod. Tem de ser utilizado em conjunto com os parâmetros ResourceGroupName, ResourceType e (opcionalmente)ParentResource.

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ResourceType

O tipo de recurso. Por exemplo, Microsoft.Network/virtualNetworks. Tem de ser utilizado em conjunto com os parâmetros ResourceGroupName, ResourceName e (opcionalmente)ParentResource.

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-RoleDefinitionId

ID da Função atribuída ao principal.

Type:Guid
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-RoleDefinitionName

Função atribuída ao principal, ou seja, Leitor, Contribuidor Rede Virtual Administrador, etc.

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-Scope

O Âmbito da atribuição de função. No formato de URI relativo. Por exemplo, /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Tem de começar com "/subscriptions/{id}". O comando filtra todas as atribuições que são eficazes nesse âmbito.

Type:String
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-ServicePrincipalName

O ServicePrincipalName do principal de serviço. Filtra todas as atribuições efetuadas à aplicação de Azure AD especificada.

Type:String
Aliases:SPN
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

-SignInName

O endereço de e-mail ou o nome principal de utilizador do utilizador. Filtra todas as atribuições efetuadas ao utilizador especificado.

Type:String
Aliases:Email, UserPrincipalName
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False

Entradas

String

Guid

Saídas

PSRoleAssignment

Notas

Palavras-chave: azure, azurerm, arm, recurso, gestão, gestor, recurso, grupo, modelo, implementação