Get-AzRoleAssignment
Lista as atribuições de função RBAC do Azure no escopo especificado. Por padrão, ele lista todas as atribuições de função na assinatura do Azure selecionada. Use os respectivos parâmetros para listar atribuições a um usuário específico ou para listar atribuições em um grupo de recursos ou recurso específico.
O cmdlet pode chamar abaixo a API do Microsoft Graph de acordo com os parâmetros de entrada:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
- POST /directoryObjects/getByIds
Observe que esse cmdlet marcará ObjectType como Unknown na saída se o objeto de atribuição de função não for encontrado ou se a conta atual tiver privilégios insuficientes para obter o tipo de objeto.
Sintaxe
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
[-ObjectId <String>]
-RoleDefinitionId <Guid>
[-Scope <String>]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Get-AzRoleAssignment
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Description
Use o comando Get-AzRoleAssignment para listar todas as atribuições de função que são efetivas em um escopo. Sem parâmetros, esse comando retorna todas as atribuições de função realizadas na assinatura. Essa lista pode ser filtrada usando parâmetros de filtragem para principal, função e escopo. O assunto da atribuição deve ser especificado. Para especificar um usuário, use os parâmetros SignInName ou Microsoft Entra ObjectId. Para especificar um grupo de segurança, use o parâmetro Microsoft Entra ObjectId. E para especificar um aplicativo Microsoft Entra, use os parâmetros ServicePrincipalName ou ObjectId. A função que está sendo atribuída deve ser especificada usando o parâmetro RoleDefinitionName. O âmbito de concessão do acesso pode ser especificado. O padrão é a assinatura selecionada. O escopo da atribuição pode ser especificado usando uma das seguintes combinações de parâmetros: a. Escopo - Este é o escopo totalmente qualificado começando com /subscriptions/<subscriptionId>. Isso filtrará as atribuições que são efetivas naquele escopo específico, ou seja, todas as atribuições nesse escopo e acima. b. ResourceGroupName - Nome de qualquer grupo de recursos na assinatura. Isso filtrará as atribuições efetivas no grupo de recursos especificado c. ResourceName, ResourceType, ResourceGroupName e (opcionalmente) ParentResource - Identifica um recurso específico na assinatura e filtrará as atribuições efetivas nesse escopo de recurso. Para determinar qual acesso um determinado usuário tem na assinatura, use a opção ExpandPrincipalGroups. Isso listará todas as funções atribuídas ao usuário e aos grupos dos quais o usuário é membro. Use a opção IncludeClassicAdministrators para exibir também os administradores e coadministradores da assinatura.
Exemplos
Exemplo 1
Get-AzRoleAssignmentListar todas as atribuições de função na assinatura
Exemplo 2
Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.comObtém todas as atribuições de função feitas ao usuário john.doe@contoso.come aos grupos dos quais ele é membro, no escopo testRG ou superior.
Exemplo 3
Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"Obtém todas as atribuições de função da entidade de serviço especificada
Exemplo 4
Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"Obtém atribuições de função no escopo do site 'site1'.
Parâmetros
-DefaultProfile
As credenciais, a conta, o locatário e a assinatura usados para comunicação com o azure
| Tipo: | IAzureContextContainer |
| Aliases: | AzContext, AzureRmContext, AzureCredential |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | False |
| Aceitar a entrada de pipeline: | False |
| Aceitar caracteres curinga: | False |
-ExpandPrincipalGroups
Se especificado, retorna funções atribuídas diretamente ao usuário e aos grupos dos quais o usuário é membro (transitivamente). Suportado apenas para uma entidade de usuário.
| Tipo: | SwitchParameter |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | False |
| Aceitar a entrada de pipeline: | False |
| Aceitar caracteres curinga: | False |
-IncludeClassicAdministrators
Se especificado, também lista as atribuições de função de administradores clássicos de assinatura (coadministradores, administradores de serviço, etc.).
| Tipo: | SwitchParameter |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | False |
| Aceitar a entrada de pipeline: | False |
| Aceitar caracteres curinga: | False |
-ObjectId
O Microsoft Entra ObjectId do usuário, grupo ou entidade de serviço. Filtra todas as atribuições feitas à entidade de segurança especificada.
| Tipo: | String |
| Aliases: | Id, PrincipalId |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | True |
| Aceitar a entrada de pipeline: | True |
| Aceitar caracteres curinga: | False |
-ParentResource
O recurso pai na hierarquia do recurso especificado usando o parâmetro ResourceName. Deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e ResourceName.
| Tipo: | String |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | False |
| Aceitar a entrada de pipeline: | True |
| Aceitar caracteres curinga: | False |
-ResourceGroupName
O nome do grupo de recursos. Lista as atribuições de função que são efetivas no grupo de recursos especificado. Quando usado em conjunto com os parâmetros ResourceName, ResourceType e ParentResource, o comando lista as atribuições efetivas em recursos dentro do grupo de recursos.
| Tipo: | String |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | True |
| Aceitar a entrada de pipeline: | True |
| Aceitar caracteres curinga: | False |
-ResourceName
O nome do recurso. Por exemplo, storageaccountprod. Deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e (opcionalmente)ParentResource.
| Tipo: | String |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | True |
| Aceitar a entrada de pipeline: | True |
| Aceitar caracteres curinga: | False |
-ResourceType
O tipo de recurso. Por exemplo, Microsoft.Network/virtualNetworks. Deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceName e (opcionalmente)ParentResource.
| Tipo: | String |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | True |
| Aceitar a entrada de pipeline: | True |
| Aceitar caracteres curinga: | False |
-RoleDefinitionId
Id da Função atribuída à entidade de segurança.
| Tipo: | Guid |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | True |
| Aceitar a entrada de pipeline: | True |
| Aceitar caracteres curinga: | False |
-RoleDefinitionName
Função que é atribuída ao principal, ou seja, Leitor, Colaborador, Administrador de Rede Virtual, etc.
| Tipo: | String |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | False |
| Aceitar a entrada de pipeline: | True |
| Aceitar caracteres curinga: | False |
-Scope
O Escopo da atribuição de função. No formato de URI relativo. Por exemplo, /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Ele deve começar com "/subscriptions/{id}". O comando filtra todas as atribuições que são efetivas nesse escopo.
| Tipo: | String |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | True |
| Aceitar a entrada de pipeline: | True |
| Aceitar caracteres curinga: | False |
-ServicePrincipalName
O ServicePrincipalName da entidade de serviço. Filtra todas as atribuições feitas ao aplicativo Microsoft Entra especificado.
| Tipo: | String |
| Aliases: | SPN |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | True |
| Aceitar a entrada de pipeline: | True |
| Aceitar caracteres curinga: | False |
-SignInName
O endereço de e-mail ou o nome principal do usuário. Filtra todas as atribuições feitas ao usuário especificado.
| Tipo: | String |
| Aliases: | Email, UserPrincipalName |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | True |
| Aceitar a entrada de pipeline: | True |
| Aceitar caracteres curinga: | False |
-SkipClientSideScopeValidation
Se especificado, ignore a validação do escopo do lado do cliente.
| Tipo: | SwitchParameter |
| Cargo: | Named |
| Valor padrão: | None |
| Obrigatório: | False |
| Aceitar a entrada de pipeline: | False |
| Aceitar caracteres curinga: | False |
Entradas
Saídas
Observações
Palavras-chave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment