Get-AzRoleAssignment
Перечисляет назначения ролей Azure RBAC по указанному область. По умолчанию он перечисляет все назначения ролей в выбранной подписке Azure. Используйте соответствующие параметры для перечисления назначений определенному пользователю или для перечисления назначений в определенной группе ресурсов или ресурсе.
Командлет может вызвать ниже API Microsoft Graph в соответствии с входным параметрами:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
- POST /directoryObjects/getByIds
Обратите внимание, что этот командлет помечается ObjectType
как Unknown
в выходных данных, если объект назначения роли не найден или текущая учетная запись имеет недостаточные привилегии для получения типа объекта.
Синтаксис
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ObjectId <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
[-ObjectId <String>]
-RoleDefinitionId <Guid>
[-Scope <String>]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-SignInName <String>
[-RoleDefinitionName <String>]
[-ExpandPrincipalGroups]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ServicePrincipalName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ResourceGroupName <String>
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
[-RoleDefinitionName <String>]
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Get-AzRoleAssignment
[-RoleDefinitionName <String>]
-Scope <String>
[-IncludeClassicAdministrators]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Описание
Используйте команду Get-AzRoleAssignment для перечисления всех назначений ролей, действующих в область. Без параметров эта команда возвращает все назначения ролей, существующие в подписке. Этот список можно фильтровать с помощью параметров фильтрации для субъектов, ролей и область. Необходимо указать тему назначения. Чтобы указать пользователя, используйте параметры SignInName или Microsoft Entra ObjectId. Чтобы указать группу безопасности, используйте параметр Microsoft Entra ObjectId. Чтобы указать приложение Microsoft Entra, используйте параметры ServicePrincipalName или ObjectId. Роль, которую назначается, необходимо указать с помощью параметра RoleDefinitionName. Область, при котором может быть указан доступ. По умолчанию используется выбранная подписка. Область назначения можно указать с помощью одного из следующих сочетаний параметров. Область — это полный область начиная с /subscriptions/<subscriptionId>. Это будет фильтровать назначения, действующие на этом конкретном область, т. е. все назначения на этом область и более поздних версий. b. ResourceGroupName — имя любой группы ресурсов в подписке. Это приведет к фильтрации назначений, действующих в указанной группе ресурсов c. ResourceName, ResourceType, ResourceGroupName и (необязательно) ParentResource — определяет определенный ресурс в подписке и фильтрует назначения, действующие на этом область ресурса. Чтобы определить, какой доступ имеет конкретный пользователь в подписке, используйте переключатель ExpandPrincipalGroups. В этом списке перечислены все роли, назначенные пользователю, и группам, в которые входит пользователь. Используйте переключатель IncludeClassic Администратор istrators, чтобы также отображать администраторов подписки и соадминистраторов.
Примеры
Пример 1
Get-AzRoleAssignment
Вывод списка всех назначений ролей в подписке
Пример 2
Get-AzRoleAssignment -ResourceGroupName testRG -SignInName john.doe@contoso.com
Получает все назначения ролей, сделанные пользователюjohn.doe@contoso.com, и группы, из которых он является членом, на область или более поздней версии testRG.
Пример 3
Get-AzRoleAssignment -ServicePrincipalName "http://testapp1.com"
Возвращает все назначения ролей указанного субъекта-службы
Пример 4
Get-AzRoleAssignment -Scope "/subscriptions/96231a05-34ce-4eb4-aa6a-70759cbb5e83/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Возвращает назначения ролей на веб-сайте site1 область.
Параметры
-DefaultProfile
Учетные данные, учетная запись, клиент и подписка, используемые для обмена данными с Azure
Type: | IAzureContextContainer |
Aliases: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ExpandPrincipalGroups
Если задано, возвращает роли, непосредственно назначенные пользователю, а также группам, в которых пользователь является членом (транзитивно). Поддерживается только для субъекта-пользователя.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-IncludeClassicAdministrators
При указании также перечислены классические администраторы подписки (соадминистраторы, администраторы служб и т. д.) назначения ролей.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ObjectId
Объект Microsoft Entra ObjectId пользователя, группы или субъекта-службы. Фильтрует все назначения, сделанные в указанный субъект.
Type: | String |
Aliases: | Id, PrincipalId |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ParentResource
Родительский ресурс в иерархии ресурса, указанного с помощью параметра ResourceName. Необходимо использовать в сочетании с параметрами ResourceGroupName, ResourceType и ResourceName.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceGroupName
Имя группы ресурсов. Перечисляет назначения ролей, действующие в указанной группе ресурсов. При использовании в сочетании с параметрами ResourceName, ResourceType и ParentResource команда перечисляет назначения, действующие в ресурсах в группе ресурсов.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceName
Имя ресурса. Например, storageaccountprod. Необходимо использовать в сочетании с параметрами ResourceGroupName, ResourceType и (необязательно)ParentResource.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceType
Типа ресурса. Например, Microsoft.Network/virtualNetworks. Необходимо использовать в сочетании с параметрами ResourceGroupName, ResourceName и (необязательно)ParentResource.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionId
Идентификатор роли, назначенной субъекту.
Type: | Guid |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionName
Роль, назначенная субъекту, т. е. читателю, участнику, виртуальная сеть Администратор istrator и т. д.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Scope
Область назначения роли. В формате относительного URI. Например, /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Он должен начинаться с "/subscriptions/{id}". Команда фильтрует все назначения, действующие на этом область.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ServicePrincipalName
ServicePrincipalName субъекта-службы. Фильтрует все назначения, сделанные в указанное приложение Microsoft Entra.
Type: | String |
Aliases: | SPN |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SignInName
Адрес электронной почты или имя участника-пользователя пользователя. Фильтрует все назначения, сделанные указанному пользователю.
Type: | String |
Aliases: | Email, UserPrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SkipClientSideScopeValidation
Если задано, пропустите проверку на стороне клиента область.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Входные данные
Выходные данные
Примечания
Ключевые слова: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment
Связанные ссылки
Azure PowerShell
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по