az role assignment

Administrar asignaciones de roles.

Comandos

az role assignment create

Crea una nueva asignación de roles para un usuario, grupo o entidad de servicio.

az role assignment delete

Eliminar asignaciones de roles.

az role assignment list

Enumera las asignaciones de roles.

az role assignment list-changelogs

Enumera los trabajos de cambio para las asignaciones de roles.

az role assignment update

Actualice una asignación de roles existente para un usuario, grupo o entidad de servicio.

az role assignment create

Crea una nueva asignación de roles para un usuario, grupo o entidad de servicio.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]
                          [--subscription]

Ejemplos

Cree la asignación de roles para un asignador.

az role assignment create --assignee sp_name --role a_role

Cree la asignación de roles para un asignador con descripción y condición.

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Crea una nueva asignación de roles para un usuario, grupo o entidad de servicio. (generado automáticamente)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Parámetros requeridos

--role

Nombre o identificador del rol.

Parámetros opcionales

--assignee

Representar un usuario, grupo o entidad de servicio. formato admitido: identificador de objeto, nombre de inicio de sesión de usuario o nombre de entidad de seguridad de servicio.

--assignee-object-id

Use este parámetro en lugar de "--assignee" para omitir la Graph API en caso de que no se le asignen privilegios suficientes. Este parámetro solo funciona con identificadores de objeto para usuarios, grupos, entidades de servicio e identidades administradas. Para las identidades administradas, use el identificador de entidad de seguridad. Para las entidades de servicio, use el identificador de objeto y no el identificador de aplicación.

--assignee-principal-type

Use con --assignee-object-id para evitar errores causados por la latencia de propagación en AAD Graph.

valores aceptados: Group, ServicePrincipal, User
--condition

Condición bajo la que se puede conceder permiso al usuario.

--condition-version

Versión de la sintaxis de la condición. Si se especifica --condition sin --condition-version, el valor predeterminado es 2.0.

--description

Descripción de la asignación de roles.

--resource-group -g

Úselo solo si el rol o la asignación se agregaron en el nivel de un grupo de recursos.

--scope

Ámbito al que se aplica la asignación o definición de roles, por ejemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID .

az role assignment delete

Eliminar asignaciones de roles.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--subscription]
                          [--yes]

Ejemplos

Eliminar asignaciones de roles. (generado automáticamente)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parámetros opcionales

--assignee

Representar un usuario, grupo o entidad de servicio. formato admitido: identificador de objeto, nombre de inicio de sesión de usuario o nombre de entidad de seguridad de servicio.

--ids

Identificadores de asignación de roles separados por espacios.

--include-inherited

Incluir asignaciones aplicadas en ámbitos primarios.

--resource-group -g

Úselo solo si el rol o la asignación se agregaron en el nivel de un grupo de recursos.

--role

Nombre o identificador del rol.

--scope

Ámbito al que se aplica la asignación o definición de roles, por ejemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID .

--yes -y

Continúe con la eliminación de todas las asignaciones de la suscripción.

az role assignment list

Enumera las asignaciones de roles.

De forma predeterminada, se mostrarán únicamente las asignaciones que se limitan a la suscripción. Para ver las asignaciones limitadas por grupo o recurso, use --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--query-examples]
                        [--resource-group]
                        [--role]
                        [--scope]
                        [--subscription]

Parámetros opcionales

--all

Mostrar todas las asignaciones de la suscripción actual.

--assignee

Representar un usuario, grupo o entidad de servicio. formato admitido: identificador de objeto, nombre de inicio de sesión de usuario o nombre de entidad de seguridad de servicio.

--include-classic-administrators

Enumera las asignaciones de roles predeterminadas para los administradores clásicos de la suscripción, también conocido como coadministrador.

valores aceptados: false, true
--include-groups

Incluya asignaciones adicionales a los grupos de los que el usuario es miembro (transitivamente).

--include-inherited

Incluir asignaciones aplicadas en ámbitos primarios.

--query-examples

Se recomienda la cadena JMESPath. Puede copiar una de las consultas y pegarla después del parámetro --query entre comillas dobles para ver los resultados. Puede agregar una o varias palabras clave posicionales para que podamos proporcionar sugerencias basadas en estas palabras clave.

--resource-group -g

Úselo solo si el rol o la asignación se agregaron en el nivel de un grupo de recursos.

--role

Nombre o identificador del rol.

--scope

Ámbito al que se aplica la asignación o definición de roles, por ejemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID .

az role assignment list-changelogs

Enumera los trabajos de cambio para las asignaciones de roles.

az role assignment list-changelogs [--end-time]
                                   [--start-time]
                                   [--subscription]

Parámetros opcionales

--end-time

Hora de finalización de la consulta con el formato %Y-%m-%dT%H:%M:%SZ, por ejemplo, 2000-12-31T12:59:59Z. El valor predeterminado es la hora actual.

--start-time

Hora de inicio de la consulta con el formato %Y-%m-%dT%H:%M:%SZ, por ejemplo, 2000-12-31T12:59:59Z. El valor predeterminado es 1 hora antes de la hora actual.

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID .

az role assignment update

Actualice una asignación de roles existente para un usuario, grupo o entidad de servicio.

az role assignment update --role-assignment
                          [--subscription]

Ejemplos

Actualice una asignación de roles desde un archivo JSON.

az role assignment update --role-assignment assignment.json

Actualice una asignación de roles a partir de una cadena JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parámetros requeridos

--role-assignment

Descripción de una asignación de roles existente como JSON o una ruta de acceso a un archivo que contiene una descripción JSON.

Parámetros opcionales

--subscription

Nombre o identificador de la suscripción Puede configurar la suscripción predeterminada mediante az account set -s NAME_OR_ID .