az role assignment

Gerenciar atribuições de função.

Comandos

az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

az role assignment delete

Excluir atribuições de função.

az role assignment list

Listar atribuições de função.

az role assignment list-changelogs

Listar Changelog para atribuições de função.

az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

az role assignment create

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]
                          [--subscription]

Exemplos

Crie uma atribuição de função para um destinatário.

az role assignment create --assignee sp_name --role a_role

Crie uma atribuição de função para um destinatário com descrição e condição.

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Crie uma nova atribuição de função para um usuário, grupo ou entidade de serviço. gerado automaticamente

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Parâmetros Exigidos

--role

Nome ou ID da função.

Parâmetros Opcionais

--assignee

Representar um usuário, grupo ou entidade de serviço. formato com suporte: ID de objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--presigne ' para ignorar a invocação de API do Graph em caso de privilégios insuficientes. Esse parâmetro funciona apenas com IDs de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use a ID da entidade. Para entidades de serviço, use a ID de objeto e não a ID do aplicativo.

--assignee-principal-type

Use com--atribuíted-Object-ID para evitar erros causados pela latência de propagação no grafo do AAD.

valores aceitos: Group, ServicePrincipal, User
--condition

Condição sob a qual o usuário pode receber permissão.

--condition-version

Versão da sintaxe da condição. Se--Condition for especificada sem--Condition-Version, o padrão é 2,0.

--description

Descrição da atribuição de função.

--resource-group -g

Use-o somente se a função ou atribuição tiver sido adicionada ao nível de um grupo de recursos.

--scope

Escopo no qual a atribuição de função ou definição se aplica a, por exemplo,/subscriptions/0b1f6471-1bf0-4DDA-aec3-111122223333,/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID .

az role assignment delete

Excluir atribuições de função.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--subscription]
                          [--yes]

Exemplos

Excluir atribuições de função. gerado automaticamente

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parâmetros Opcionais

--assignee

Representar um usuário, grupo ou entidade de serviço. formato com suporte: ID de objeto, nome de entrada do usuário ou nome da entidade de serviço.

--ids

IDs de atribuição de função com separação de espaço.

--include-inherited

Incluir atribuições aplicadas em escopos pai.

--resource-group -g

Use-o somente se a função ou atribuição tiver sido adicionada ao nível de um grupo de recursos.

--role

Nome ou ID da função.

--scope

Escopo no qual a atribuição de função ou definição se aplica a, por exemplo,/subscriptions/0b1f6471-1bf0-4DDA-aec3-111122223333,/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID .

--yes -y

Continue a excluir todas as atribuições na assinatura.

az role assignment list

Listar atribuições de função.

Por padrão, somente as atribuições de escopo para a assinatura serão exibidas. Para exibir as atribuições de escopo por grupo ou recurso, use --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--query-examples]
                        [--resource-group]
                        [--role]
                        [--scope]
                        [--subscription]

Parâmetros Opcionais

--all

Mostrar todas as atribuições na assinatura atual.

--assignee

Representar um usuário, grupo ou entidade de serviço. formato com suporte: ID de objeto, nome de entrada do usuário ou nome da entidade de serviço.

--include-classic-administrators

Listar atribuições de função padrão para administradores clássicos de assinatura, também conhecido como coadministradores.

valores aceitos: false, true
--include-groups

Inclua atribuições extras para os grupos dos quais o usuário é um membro (transitivamente).

--include-inherited

Incluir atribuições aplicadas em escopos pai.

--query-examples

Recomende uma cadeia de caracteres JMESPath para você. Você pode copiar uma da consulta e colá-la após o parâmetro--Query entre aspas duplas para ver os resultados. Você pode adicionar uma ou mais palavras-chave posicionais para que possamos dar sugestões com base nessas palavras-chaves.

--resource-group -g

Use-o somente se a função ou atribuição tiver sido adicionada ao nível de um grupo de recursos.

--role

Nome ou ID da função.

--scope

Escopo no qual a atribuição de função ou definição se aplica a, por exemplo,/subscriptions/0b1f6471-1bf0-4DDA-aec3-111122223333,/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup ou/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID .

az role assignment list-changelogs

Listar Changelog para atribuições de função.

az role assignment list-changelogs [--end-time]
                                   [--start-time]
                                   [--subscription]

Parâmetros Opcionais

--end-time

A hora de término da consulta no formato% Y-% m-% dT% H:%M:% SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é a hora atual.

--start-time

A hora de início da consulta no formato% Y-% m-% dT% H:%M:% SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é 1 hora antes da hora atual.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID .

az role assignment update

Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.

az role assignment update --role-assignment
                          [--subscription]

Exemplos

Atualize uma atribuição de função de um arquivo JSON.

az role assignment update --role-assignment assignment.json

Atualizar uma atribuição de função de uma cadeia de caracteres JSON. Raso

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parâmetros Exigidos

--role-assignment

Descrição de uma atribuição de função existente como JSON ou um caminho para um arquivo que contém uma descrição JSON.

Parâmetros Opcionais

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID .