az role assignment

Gerir tarefas de função.

Comandos

az role assignment create

Crie uma nova atribuição de função para um utilizador, grupo ou principal de serviço.

az role assignment delete

Eliminar atribuições de funções.

az role assignment list

Listar atribuições de papéis.

az role assignment list-changelogs

Listar os alterlogs para atribuições de funções.

az role assignment update

Atualize uma atribuição de função existente para um utilizador, grupo ou principal de serviço.

az role assignment create

Crie uma nova atribuição de função para um utilizador, grupo ou principal de serviço.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]
                          [--subscription]

Exemplos

Criar atribuição de funções para um destinatário.

az role assignment create --assignee sp_name --role a_role

Crie atribuição de funções para um cessionário com descrição e condição.

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Crie uma nova atribuição de função para um utilizador, grupo ou principal de serviço. (autogerado)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Parâmetros Obrigatórios

--role

Nome de papel ou identificação.

Parâmetros Opcionais

--assignee

Represente um utilizador, grupo ou principal de serviço. formato suportado: id de objeto, nome de inscrição do utilizador ou nome principal de serviço.

--assignee-object-id

Utilize este parâmetro em vez de "-assignee" para contornar Graph invocação da API em caso de privilégios insuficientes. Este parâmetro funciona apenas com ids de objetos para utilizadores, grupos, diretores de serviço e identidades geridas. Para identidades geridas, use o id principal. Para os principais serviços, utilize o id do objeto e não o id da aplicação.

--assignee-principal-type

Utilize com --assignee-object-id para evitar erros causados pela latência de propagação em Graph AAD.

valores aceites: Group, ServicePrincipal, User
--condition

Condição sob a qual o utilizador pode ser autorizado.

--condition-version

Versão da sintaxe da condição. Se a condição for especificada sem a versão condição, predefinição a 2.0.

--description

Descrição da atribuição de papéis.

--resource-group -g

Utilize-o apenas se a função ou atribuição for adicionada ao nível de um grupo de recursos.

--scope

Âmbito em que a atribuição ou definição de funções se aplica, por exemplo, /subscrições/0b1f6471-1bf0-4dda-aec3-11112223333, /subscrições/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, ou /subscrições/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--subscription

o nome ou o ID da subscrição. Pode configurar a subscrição padrão utilizando az account set -s NAME_OR_ID .

az role assignment delete

Eliminar atribuições de funções.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--subscription]
                          [--yes]

Exemplos

Eliminar atribuições de funções. (autogerado)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parâmetros Opcionais

--assignee

Represente um utilizador, grupo ou principal de serviço. formato suportado: id de objeto, nome de inscrição do utilizador ou nome principal de serviço.

--ids

Identificações de função separadas pelo espaço.

--include-inherited

Incluir atribuições aplicadas em âmbitos parentais.

--resource-group -g

Utilize-o apenas se a função ou atribuição for adicionada ao nível de um grupo de recursos.

--role

Nome de papel ou identificação.

--scope

Âmbito em que a atribuição ou definição de funções se aplica, por exemplo, /subscrições/0b1f6471-1bf0-4dda-aec3-11112223333, /subscrições/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, ou /subscrições/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--subscription

o nome ou o ID da subscrição. Pode configurar a subscrição padrão utilizando az account set -s NAME_OR_ID .

--yes -y

Continue a excluir todas as atribuições sob a subscrição.

az role assignment list

Listar atribuições de papéis.

Por predefinição, apenas serão apresentadas atribuições de subscrição. Para visualizar as atribuições a visão de recursos ou grupo, utilize --all .

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--query-examples]
                        [--resource-group]
                        [--role]
                        [--scope]
                        [--subscription]

Parâmetros Opcionais

--all

Mostre todas as atribuições sob a subscrição atual.

--assignee

Represente um utilizador, grupo ou principal de serviço. formato suportado: id de objeto, nome de inscrição do utilizador ou nome principal de serviço.

--include-classic-administrators

Listar atribuições de funções padrão para administradores clássicos de subscrição, também conhecidos como coadministradores.

valores aceites: false, true
--include-groups

Incluir atribuições extra aos grupos dos quais o utilizador é membro (transitivamente).

--include-inherited

Incluir atribuições aplicadas em âmbitos parentais.

--query-examples

Recomende a cadeia JMESPath para si. Pode copiar uma das consultas e colá-la depois de --parâmetro de consulta dentro de duas aspas para ver os resultados. Pode adicionar uma ou mais palavras-chave posicionais para que possamos dar sugestões com base nestas palavras-chave.

--resource-group -g

Utilize-o apenas se a função ou atribuição for adicionada ao nível de um grupo de recursos.

--role

Nome de papel ou identificação.

--scope

Âmbito em que a atribuição ou definição de funções se aplica, por exemplo, /subscrições/0b1f6471-1bf0-4dda-aec3-11112223333, /subscrições/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup, ou /subscrições/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--subscription

o nome ou o ID da subscrição. Pode configurar a subscrição padrão utilizando az account set -s NAME_OR_ID .

az role assignment list-changelogs

Listar os alterlogs para atribuições de funções.

az role assignment list-changelogs [--end-time]
                                   [--start-time]
                                   [--subscription]

Parâmetros Opcionais

--end-time

O tempo final da consulta no formato de %Y-%m-%dT%H:%M:%M:%SZ, por exemplo 2000-12-31T12:59:59Z. Incumprimentos à hora atual.

--start-time

A hora de início da consulta no formato de %Y-%m-%dT%H:%M:%M:%SZ, por exemplo 2000-12-31T12:59:59Z. Predefinições a 1 hora antes da hora atual.

--subscription

o nome ou o ID da subscrição. Pode configurar a subscrição padrão utilizando az account set -s NAME_OR_ID .

az role assignment update

Atualize uma atribuição de função existente para um utilizador, grupo ou principal de serviço.

az role assignment update --role-assignment
                          [--subscription]

Exemplos

Atualize uma atribuição de funções a partir de um ficheiro JSON.

az role assignment update --role-assignment assignment.json

Atualize uma tarefa de função a partir de uma cadeia JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parâmetros Obrigatórios

--role-assignment

Descrição de uma atribuição de funções existente como JSON, ou um caminho para um ficheiro que contenha uma descrição de JSON.

Parâmetros Opcionais

--subscription

o nome ou o ID da subscrição. Pode configurar a subscrição padrão utilizando az account set -s NAME_OR_ID .