Get-AzRoleAssignment

Módulo:

Az.Resources

Enumera las asignaciones de roles de RBAC de Azure en el ámbito especificado. De forma predeterminada, enumera todas las asignaciones de roles de la suscripción de Azure seleccionada. Use los parámetros respectivos para enumerar las asignaciones a un usuario específico o para enumerar las asignaciones en un grupo de recursos o recurso específico.

El cmdlet puede llamar a microsoft Graph API debajo según los parámetros de entrada:

• GET /users/{id}
• GET /servicePrincipals/{id}
• GET /groups/{id}
• GET /directoryObjects/{id}
• POST /directoryObjects/getByIds

Tenga en cuenta que este cmdlet marcará ObjectType como Unknown en la salida si no se encuentra el objeto de asignación de roles o la cuenta actual no tiene privilegios suficientes para obtener el tipo de objeto.

Syntax

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -ObjectId <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   [-ObjectId <String>]
   -RoleDefinitionId <Guid>
   [-Scope <String>]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -SignInName <String>
   [-RoleDefinitionName <String>]
   [-ExpandPrincipalGroups]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -ServicePrincipalName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -ServicePrincipalName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -ResourceGroupName <String>
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   [-RoleDefinitionName <String>]
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Get-AzRoleAssignment
   [-RoleDefinitionName <String>]
   -Scope <String>
   [-IncludeClassicAdministrators]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

Use el comando Get-AzRoleAssignment para enumerar todas las asignaciones de roles que son efectivas en un ámbito. Sin parámetros, este comando devuelve todas las asignaciones de roles realizadas en la suscripción. Esta lista se puede filtrar mediante parámetros de filtrado para la entidad de seguridad, el rol y el ámbito. Se debe especificar el asunto de la asignación. Para especificar un usuario, use los parámetros SignInName o ObjectId de Azure AD. Para especificar un grupo de seguridad, use el parámetro ObjectId de Azure AD. Y para especificar una aplicación de Azure AD, use los parámetros ServicePrincipalName o ObjectId. El rol que se asigna debe especificarse mediante el parámetro RoleDefinitionName. Se puede especificar el ámbito en el que se concede acceso. El valor predeterminado es la suscripción seleccionada. El ámbito de la asignación se puede especificar mediante una de las siguientes combinaciones de parámetros a. Ámbito: este es el ámbito completo que empieza por /subscriptions/<subscriptionId>. Esto filtrará las asignaciones que son efectivas en ese ámbito concreto, es decir, todas las asignaciones en ese ámbito y versiones posteriores. b. ResourceGroupName: nombre de cualquier grupo de recursos de la suscripción. Esto filtrará las asignaciones vigentes en el grupo de recursos especificado c. ResourceName, ResourceType, ResourceGroupName y (opcionalmente) ParentResource: identifica un recurso determinado en la suscripción y filtrará las asignaciones vigentes en ese ámbito de recursos. Para determinar qué acceso tiene un usuario determinado en la suscripción, use el modificador ExpandPrincipalGroups. Esto enumerará todos los roles asignados al usuario y a los grupos de los que el usuario es miembro. Use el modificador IncludeClassicAdministrators para mostrar también los administradores de suscripciones y coadministradores.

Ejemplos

Ejemplo 1

Get-AzRoleAssignment

Enumeración de todas las asignaciones de roles de la suscripción

Ejemplo 2

Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com

Obtiene todas las asignaciones de roles realizadas al usuario john.doe@contoso.comy los grupos de los que es miembro, en el ámbito testRG o superior.

Ejemplo 3

Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"

Obtiene todas las asignaciones de roles de la entidad de servicio especificada.

Ejemplo 4

Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Obtiene las asignaciones de roles en el ámbito del sitio web "site1".

Parámetros

-DefaultProfile

Las credenciales, la cuenta, el inquilino y la suscripción que se usan para la comunicación con Azure

Type:	IAzureContextContainer
Aliases:	AzContext, AzureRmContext, AzureCredential
Position:	Named
Default value:	None
Accept pipeline input:	False
Accept wildcard characters:	False

-ExpandPrincipalGroups

Si se especifica, devuelve roles asignados directamente al usuario y a los grupos de los que el usuario es miembro (transitivamente). Solo se admite para una entidad de seguridad de usuario.

Type:	SwitchParameter
Position:	Named
Default value:	None
Accept pipeline input:	False
Accept wildcard characters:	False

-IncludeClassicAdministrators

Si se especifica, también enumera las asignaciones de roles de administradores clásicos de suscripciones (coadministradores, administradores de servicios, etc.).

Type:	SwitchParameter
Position:	Named
Default value:	None
Accept pipeline input:	False
Accept wildcard characters:	False

-ObjectId

ObjectId de Azure AD del usuario, grupo o entidad de servicio. Filtra todas las asignaciones que se realizan en la entidad de seguridad especificada.

Type:	String
Aliases:	Id, PrincipalId
Position:	Named
Default value:	None
Accept pipeline input:	True
Accept wildcard characters:	False

-ParentResource

El recurso primario de la jerarquía del recurso especificado mediante el parámetro ResourceName. Debe usarse junto con los parámetros ResourceGroupName, ResourceType y ResourceName.

Type:	String
Position:	Named
Default value:	None
Accept pipeline input:	True
Accept wildcard characters:	False

-ResourceGroupName

El nombre del grupo de recursos. Enumera las asignaciones de roles que son efectivas en el grupo de recursos especificado. Cuando se usa junto con los parámetros ResourceName, ResourceType y ParentResource, el comando enumera las asignaciones vigentes en los recursos del grupo de recursos.

Type:	String
Position:	Named
Default value:	None
Accept pipeline input:	True
Accept wildcard characters:	False

-ResourceName

Nombre del recurso. Por ejemplo, storageaccountprod. Debe usarse junto con los parámetros ResourceGroupName, ResourceType y (opcionalmente) ParentResource.

Type:	String
Position:	Named
Default value:	None
Accept pipeline input:	True
Accept wildcard characters:	False

-ResourceType

El tipo de recurso. Por ejemplo, Microsoft.Network/virtualNetworks. Debe usarse junto con los parámetros ResourceGroupName, ResourceName y (opcionalmente) ParentResource.

Type:	String
Position:	Named
Default value:	None
Accept pipeline input:	True
Accept wildcard characters:	False

-RoleDefinitionId

Identificador del rol asignado a la entidad de seguridad.

Type:	Guid
Position:	Named
Default value:	None
Accept pipeline input:	True
Accept wildcard characters:	False

-RoleDefinitionName

Rol asignado a la entidad de seguridad, es decir, Lector, Colaborador, Virtual Network Administrador, etc.

Type:	String
Position:	Named
Default value:	None
Accept pipeline input:	True
Accept wildcard characters:	False

-Scope

Ámbito de la asignación de roles. En el formato de URI relativo. Por ejemplo, /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Debe empezar por "/subscriptions/{id}". El comando filtra todas las asignaciones que son efectivas en ese ámbito.

Type:	String
Position:	Named
Default value:	None
Accept pipeline input:	True
Accept wildcard characters:	False

-ServicePrincipalName

ServicePrincipalName de la entidad de servicio. Filtra todas las asignaciones que se realizan en la aplicación de Azure AD especificada.

Type:	String
Aliases:	SPN
Position:	Named
Default value:	None
Accept pipeline input:	True
Accept wildcard characters:	False

-SignInName

La dirección de correo electrónico o el nombre principal de usuario del usuario. Filtra todas las asignaciones realizadas al usuario especificado.

Type:	String
Aliases:	Email, UserPrincipalName
Position:	Named
Default value:	None
Accept pipeline input:	True
Accept wildcard characters:	False

Entradas

String

Guid

Salidas

PSRoleAssignment

Notas

Palabras clave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment

Vínculos relacionados

• New-AzRoleAssignment
• Remove-AzRoleAssignment
• Get-AzRoleDefinition