Get-AzRoleAssignment
Enumera las asignaciones de roles de RBAC de Azure en el ámbito especificado. De forma predeterminada, enumera todas las asignaciones de roles de la suscripción de Azure seleccionada. Use los parámetros respectivos para enumerar las asignaciones a un usuario específico o para enumerar las asignaciones de un grupo de recursos o un recurso específicos.
El cmdlet puede llamar a microsoft Graph API debajo según los parámetros de entrada:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
- POST /directoryObjects/getByIds
Tenga en cuenta que este cmdlet marcará ObjectType
como Unknown
en la salida si no se encuentra el objeto de asignación de roles o la cuenta actual no tiene privilegios suficientes para obtener el tipo de objeto.
Syntax
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
[-ObjectId <String>]
-RoleDefinitionId <Guid>
[-Scope <String>]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Description
Use el comando Get-AzRoleAssignment para enumerar todas las asignaciones de roles que son efectivas en un ámbito. Sin parámetros, este comando devuelve todas las asignaciones de roles realizadas en la suscripción. Esta lista se puede filtrar mediante parámetros de filtrado para la entidad de seguridad, el rol y el ámbito. Se debe especificar el asunto de la asignación. Para especificar un usuario, use los parámetros SignInName o Microsoft Entra ObjectId. Para especificar un grupo de seguridad, use el parámetro Microsoft Entra ObjectId. Y para especificar una aplicación de Microsoft Entra, use los parámetros ServicePrincipalName o ObjectId. El rol que se va a asignar debe especificarse mediante el parámetro RoleDefinitionName. Se puede especificar el ámbito en el que se concede acceso. El valor predeterminado es la suscripción seleccionada. El ámbito de la asignación se puede especificar mediante una de las siguientes combinaciones de parámetros a. Ámbito: este es el ámbito completo a partir de /subscriptions/<subscriptionId>. Esto filtrará las asignaciones que son efectivas en ese ámbito concreto, es decir, todas las asignaciones en ese ámbito y versiones posteriores. b. ResourceGroupName: nombre de cualquier grupo de recursos de la suscripción. Esto filtrará las asignaciones vigentes en el grupo de recursos especificado c. ResourceName, ResourceType, ResourceGroupName y (opcionalmente) ParentResource: identifica un recurso determinado en la suscripción y filtrará las asignaciones vigentes en ese ámbito de recurso. Para determinar qué acceso tiene un usuario determinado en la suscripción, use el modificador ExpandPrincipalGroups. Esto enumerará todos los roles asignados al usuario y a los grupos de los que es miembro el usuario. Use el modificador IncludeClassic Administración istrators para mostrar también los administradores de suscripciones y coadministradores.
Ejemplos
Ejemplo 1
Get-AzRoleAssignment
Enumerar todas las asignaciones de roles de la suscripción
Ejemplo 2
Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com
Obtiene todas las asignaciones de roles realizadas al usuario john.doe@contoso.comy los grupos de los que es miembro, en el ámbito testRG o superior.
Ejemplo 3
Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"
Obtiene todas las asignaciones de roles de la entidad de servicio especificada.
Ejemplo 4
Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Obtiene asignaciones de roles en el ámbito del sitio web "site1".
Parámetros
-DefaultProfile
Las credenciales, la cuenta, el inquilino y la suscripción que se usan para la comunicación con Azure
Type: | IAzureContextContainer |
Aliases: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ExpandPrincipalGroups
Si se especifica, devuelve roles asignados directamente al usuario y a los grupos de los que el usuario es miembro (transitivamente). Solo se admite para una entidad de seguridad de usuario.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-IncludeClassicAdministrators
Si se especifica, también enumera las asignaciones de roles de administradores clásicos de suscripción (coadministradores, administradores de servicios, etc.).
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ObjectId
Microsoft Entra ObjectId del usuario, grupo o entidad de servicio. Filtra todas las asignaciones realizadas a la entidad de seguridad especificada.
Type: | String |
Aliases: | Id, PrincipalId |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ParentResource
Recurso primario de la jerarquía del recurso especificado mediante el parámetro ResourceName. Debe usarse junto con los parámetros ResourceGroupName, ResourceType y ResourceName.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceGroupName
El nombre del grupo de recursos. Enumera las asignaciones de roles que son efectivas en el grupo de recursos especificado. Cuando se usa junto con los parámetros ResourceName, ResourceType y ParentResource, el comando enumera las asignaciones vigentes en los recursos del grupo de recursos.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceName
Nombre del recurso. Por ejemplo, storageaccountprod. Debe usarse junto con los parámetros ResourceGroupName, ResourceType y (opcionalmente) ParentResource.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceType
Tipo de recurso. Por ejemplo, Microsoft.Network/virtualNetworks. Debe usarse junto con los parámetros ResourceGroupName, ResourceName y (opcionalmente) ParentResource.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionId
Identificador del rol asignado a la entidad de seguridad.
Type: | Guid |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionName
Rol asignado a la entidad de seguridad, es decir, Lector, Colaborador, Red virtual Administración istrator, etc.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Scope
Ámbito de la asignación de roles. En el formato de URI relativo. Por ejemplo, /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Debe comenzar con "/subscriptions/{id}". El comando filtra todas las asignaciones que son efectivas en ese ámbito.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ServicePrincipalName
ServicePrincipalName de la entidad de servicio. Filtra todas las asignaciones realizadas a la aplicación Microsoft Entra especificada.
Type: | String |
Aliases: | SPN |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SignInName
La dirección de correo electrónico o el nombre principal de usuario del usuario. Filtra todas las asignaciones realizadas al usuario especificado.
Type: | String |
Aliases: | Email, UserPrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SkipClientSideScopeValidation
Si se especifica, omita la validación del ámbito del lado cliente.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Entradas
Salidas
Notas
Palabras clave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment
Vínculos relacionados
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de