Get-AzRoleAssignment

Lista as atribuições de função RBAC do Azure no escopo especificado. Por padrão, ele lista todas as atribuições de função na assinatura do Azure selecionada. Use os respectivos parâmetros para listar atribuições a um usuário específico ou para listar atribuições em um grupo de recursos ou recurso específico.

O cmdlet pode chamar abaixo a API do Microsoft Graph de acordo com os parâmetros de entrada:

  • GET /usuários/{id}
  • GET /servicePrincipals/{id}
  • GET /grupos/{id}
  • GET /diretórioObjetos/{id}
  • POST /directoryObjects/getByIds

Observe que esse cmdlet será marcado ObjectType como Unknown na saída se o objeto de atribuição de função não for encontrado ou a conta atual não tiver privilégios suficientes para obter o tipo de objeto.

Sintaxe

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

Use o comando Get-AzRoleAssignment para listar todas as atribuições de função que são efetivas em um escopo. Sem parâmetros, esse comando retorna todas as atribuições de função realizadas na assinatura. Essa lista pode ser filtrada usando parâmetros de filtragem para entidade de segurança, função e escopo. O assunto da tarefa deve ser especificado. Para especificar um usuário, use os parâmetros SignInName ou Microsoft Entra ObjectId. Para especificar um grupo de segurança, use o parâmetro Microsoft Entra ObjectId. E para especificar um aplicativo do Microsoft Entra, use os parâmetros ServicePrincipalName ou ObjectId. A função que está sendo atribuída deve ser especificada usando o parâmetro RoleDefinitionName. O escopo no qual o acesso está sendo concedido pode ser especificado. O padrão é a assinatura selecionada. O escopo da atribuição pode ser especificado usando uma das seguintes combinações de parâmetros: a. Escopo – esse é o escopo totalmente qualificado que começa com /subscriptions/<subscriptionId>. Isso filtrará as atribuições que são efetivas nesse escopo específico, ou seja, todas as atribuições nesse escopo e acima. b. ResourceGroupName - Nome de qualquer grupo de recursos na assinatura. Isso filtrará as atribuições efetivas no grupo de recursos especificado c. ResourceName, ResourceType, ResourceGroupName e (opcionalmente) ParentResource - Identifica um recurso específico na assinatura e filtrará as atribuições efetivas nesse escopo de recurso. Para determinar qual acesso um determinado usuário tem na assinatura, use a opção ExpandPrincipalGroups. Isso listará todas as funções atribuídas ao usuário e aos grupos dos quais o usuário é membro. Use a opção IncludeClassicAdministrators para exibir também os administradores e coadministradores da assinatura.

Exemplos

Exemplo 1

Get-AzRoleAssignment

Listar todas as atribuições de função na assinatura

Exemplo 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

Obtém todas as atribuições de função feitas ao usuário john.doe@contoso.come aos grupos dos quais ele é membro, no escopo testRG ou superior.

Exemplo 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

Obtém todas as atribuições de função da entidade de serviço especificada

Exemplo 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Obtém atribuições de função no escopo do site 'site1'.

Parâmetros

-DefaultProfile

As credenciais, a conta, o locatário e a assinatura usadas para comunicação com o Azure

Tipo:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Cargo:Named
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False

-ExpandPrincipalGroups

Se especificado, retorna funções atribuídas diretamente ao usuário e aos grupos dos quais o usuário é membro (transitivamente). Com suporte apenas para uma entidade de usuário.

Tipo:SwitchParameter
Cargo:Named
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False

-IncludeClassicAdministrators

Se especificado, também lista as atribuições de função de administradores clássicos da assinatura (coadministradores, administradores de serviço etc.).

Tipo:SwitchParameter
Cargo:Named
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False

-ObjectId

O Microsoft Entra ObjectId do usuário, grupo ou entidade de serviço. Filtra todas as atribuições feitas à entidade de segurança especificada.

Tipo:String
Aliases:Id, PrincipalId
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-ParentResource

O recurso pai na hierarquia do recurso especificado usando o parâmetro ResourceName. Deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e ResourceName.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-ResourceGroupName

O nome do grupo de recursos. Lista as atribuições de função que são efetivas no grupo de recursos especificado. Quando usado em conjunto com os parâmetros ResourceName, ResourceType e ParentResource, o comando lista as atribuições efetivas nos recursos dentro do grupo de recursos.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-ResourceName

O nome do recurso. Por exemplo, storageaccountprod. Deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e (opcionalmente) ParentResource.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-ResourceType

O tipo de recurso. Por exemplo, Microsoft.Network/virtualNetworks. Deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceName e (opcionalmente)ParentResource.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-RoleDefinitionId

ID da função atribuída à entidade de segurança.

Tipo:Guid
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-RoleDefinitionName

Função atribuída à entidade de segurança, ou seja, Leitor, Colaborador, Administrador de Rede Virtual etc.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-Scope

O Escopo da atribuição de função. No formato de URI relativo. Por exemplo, /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Ele deve começar com "/subscriptions/{id}". O comando filtra todas as atribuições que são efetivas nesse escopo.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-ServicePrincipalName

O ServicePrincipalName da entidade de serviço. Filtra todas as atribuições feitas ao aplicativo Microsoft Entra especificado.

Tipo:String
Aliases:SPN
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-SignInName

O endereço de email ou o nome principal do usuário. Filtra todas as atribuições feitas ao usuário especificado.

Tipo:String
Aliases:Email, UserPrincipalName
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-SkipClientSideScopeValidation

Se especificado, ignore a validação do escopo do lado do cliente.

Tipo:SwitchParameter
Cargo:Named
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False

Entradas

String

Guid

Saídas

PSRoleAssignment

Observações

Palavras-chave: azure, azurerm, arm, recurso, gerenciamento, gerente, recurso, grupo, modelo, implantação