az role assignment
Gerencie atribuições de funções.
Comandos
| Name | Description | Tipo | Status |
|---|---|---|---|
| az role assignment create |
Crie uma nova atribuição de função para um utilizador, grupo ou principal de serviço. |
Principal | GA |
| az role assignment delete |
Excluir atribuições de função. |
Principal | GA |
| az role assignment list |
Listar atribuições de função. |
Principal | GA |
| az role assignment list-changelogs |
Listar logs de alterações para atribuições de função. |
Principal | GA |
| az role assignment update |
Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço. |
Principal | GA |
az role assignment create
Crie uma nova atribuição de função para um utilizador, grupo ou principal de serviço.
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]Exemplos
Crie uma atribuição de função para conceder ao cessionário especificado a função Leitor em uma máquina virtual do Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVmCrie uma atribuição de função para um cessionário com descrição e condição.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"Crie uma atribuição de função com seu próprio nome de atribuição.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000Parâmetros Obrigatórios
Nome ou id da função.
Escopo no qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Parâmetros Opcionais
Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de início de sessão do utilizador ou nome da entidade de serviço.
Use esse parâmetro em vez de '--assignee' para ignorar a invocação da API do Graph em caso de privilégios insuficientes. Esse parâmetro só funciona com ids de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use a ID principal. Para entidades de serviço, use a ID do objeto e não a ID do aplicativo.
Use com --assignee-object-id para evitar erros causados pela latência de propagação no Microsoft Graph.
Condição sob a qual o usuário pode receber permissão.
Versão da sintaxe da condição. Se --condition for especificado sem --condition-version, o padrão será 2.0.
Descrição da atribuição de funções.
Um GUID para a atribuição de função. Deve ser único e diferente para cada atribuição de função. Se omitido, um novo GUID é gerado.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az role assignment delete
Excluir atribuições de função.
az role assignment delete [--assignee]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]Exemplos
Excluir atribuições de função. (gerado automaticamente)
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"Parâmetros Opcionais
Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de início de sessão do utilizador ou nome da entidade de serviço.
IDs de atribuição de função separadas por espaço.
Inclua atribuições aplicadas em escopos pai.
Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.
Nome ou id da função.
Escopo no qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Continue a excluir todas as atribuições da assinatura.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az role assignment list
Listar atribuições de função.
Por padrão, apenas as atribuições com escopo para assinatura serão exibidas. Para exibir atribuições com escopo por recurso ou grupo, use --all.
[ATENÇÃO] Os administradores de assinatura clássica do Azure serão desativados em 31 de agosto de 2024. Após 31 de agosto de 2024, todos os administradores clássicos correm o risco de perder o acesso à assinatura. Exclua administradores clássicos que não precisam mais de acesso ou atribua uma função RBAC do Azure para controle de acesso refinado. Saiba mais: https://go.microsoft.com/fwlink/?linkid=2238474.
az role assignment list [--all]
[--assignee]
[--include-classic-administrators {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]Parâmetros Opcionais
Mostrar todas as atribuições sob a assinatura atual.
Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de início de sessão do utilizador ou nome da entidade de serviço.
A opção '--include-classic-administrators' foi preterida e será removida em uma versão futura.
Liste atribuições de função padrão para administradores clássicos de assinatura, também conhecidos como coadministradores.
Inclua atribuições extras para os grupos dos quais o usuário é membro (transitivamente).
Inclua atribuições aplicadas em escopos pai.
Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.
Nome ou id da função.
Escopo no qual a atribuição ou definição de função se aplica, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az role assignment list-changelogs
Listar logs de alterações para atribuições de função.
az role assignment list-changelogs [--end-time]
[--start-time]Parâmetros Opcionais
A hora de término da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é a hora atual.
A hora de início da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é 1 hora antes da hora atual.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
az role assignment update
Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.
az role assignment update --role-assignmentExemplos
Atualizar uma atribuição de função a partir de um arquivo JSON.
az role assignment update --role-assignment assignment.jsonAtualize uma atribuição de função a partir de uma cadeia de caracteres JSON. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'Parâmetros Obrigatórios
Descrição de uma atribuição de função existente como JSON ou um caminho para um arquivo que contém uma descrição JSON.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
Formato de saída.
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
