az role assignment
Gerencie atribuições de funções.
Comandos
| Name | Description | Tipo | Status |
|---|---|---|---|
| az role assignment create |
Crie uma nova atribuição de função para um utilizador, grupo ou principal de serviço. |
Core | disponibilidade geral |
| az role assignment delete |
Excluir atribuições de função. |
Core | disponibilidade geral |
| az role assignment list |
Listar atribuições de função. |
Core | disponibilidade geral |
| az role assignment list-changelogs |
Listar logs de alterações para atribuições de função. |
Core | disponibilidade geral |
| az role assignment update |
Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço. |
Core | disponibilidade geral |
az role assignment create
Crie uma nova atribuição de função para um utilizador, grupo ou principal de serviço.
az role assignment create --role
--scope
[--acquire-policy-token]
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--change-reference]
[--condition]
[--condition-version]
[--description]
[--name]Exemplos
Criar atribuição de funções para conceder ao cessionário especificado o papel de Leitor numa máquina virtual do Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVmCrie uma atribuição de função para um cessionário com descrição e condição.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"Crie uma atribuição de função com seu próprio nome de atribuição.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000Parâmetros Obrigatórios
Nome ou id da função.
Âmbito em que a atribuição ou definição de função se aplica a, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111222233333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333/resourceGroups/myGroup/providers/Microsoft. Computação/máquinas virtuais/myVM.
Parâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem tornar-se necessários para que o comando seja executado com êxito.
Aquisição automática de um token Azure Policy para esta operação de recurso.
| Propriedade | Valor |
|---|---|
| Grupo de parâmetros: | Global Policy Arguments |
Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de início de sessão do utilizador ou nome da entidade de serviço.
ID do objeto do cessionário (também conhecido como ID principal). Use este argumento em vez de '--assignee' para contornar a consulta do Microsoft Graph caso a conta logada não tenha permissão ou a máquina não tenha acesso à rede para consultar o Microsoft Graph.
Use com --assignee-object-id para evitar erros causados pela latência de propagação no Microsoft Graph.
| Propriedade | Valor |
|---|---|
| Valores aceites: | ForeignGroup, Group, ServicePrincipal, User |
O ID de referência de alteração relacionado para esta operação de recurso.
| Propriedade | Valor |
|---|---|
| Grupo de parâmetros: | Global Policy Arguments |
Condição sob a qual o usuário pode receber permissão.
Versão da sintaxe da condição. Se --condition for especificado sem --condition-version, o padrão será 2.0.
Descrição da atribuição de funções.
Um GUID para a atribuição de função. Deve ser único e diferente para cada atribuição de função. Se omitido, um novo GUID é gerado.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Default value: | json |
| Valores aceites: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Default value: | False |
az role assignment delete
Excluir atribuições de função.
Este comando exclui todas as atribuições de função que satisfazem a condição de consulta fornecida. Antes de executar esse comando, é altamente recomendável executar az role assignment list primeiro com os mesmos argumentos para ver quais atribuições de função serão excluídas.
az role assignment delete [--acquire-policy-token]
[--assignee]
[--assignee-object-id]
[--change-reference]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]Exemplos
Exclua todas as atribuições de função com a função "Leitor" no escopo da assinatura.
az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Exclua todas as atribuições de função de um cessionário no escopo da assinatura.
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Exclua todas as atribuições de função de um cessionário (com sua ID de objeto) no escopo da assinatura.
az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Parâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem tornar-se necessários para que o comando seja executado com êxito.
Aquisição automática de um token Azure Policy para esta operação de recurso.
| Propriedade | Valor |
|---|---|
| Grupo de parâmetros: | Global Policy Arguments |
Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de início de sessão do utilizador ou nome da entidade de serviço.
ID do objeto do cessionário (também conhecido como ID principal). Use este argumento em vez de '--assignee' para contornar a consulta do Microsoft Graph caso a conta logada não tenha permissão ou a máquina não tenha acesso à rede para consultar o Microsoft Graph.
O ID de referência de alteração relacionado para esta operação de recurso.
| Propriedade | Valor |
|---|---|
| Grupo de parâmetros: | Global Policy Arguments |
IDs de atribuição de função separadas por espaço.
Inclua atribuições aplicadas em escopos pai.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.
Nome ou id da função.
Âmbito em que a atribuição ou definição de função se aplica a, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111222233333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333/resourceGroups/myGroup/providers/Microsoft. Computação/máquinas virtuais/myVM.
Atualmente no-op.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Default value: | json |
| Valores aceites: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Default value: | False |
az role assignment list
Listar atribuições de função.
Por padrão, apenas as atribuições com escopo para assinatura serão exibidas. Para exibir atribuições com escopo por recurso ou grupo, use --all.
az role assignment list [--all]
[--assignee]
[--assignee-object-id]
[--fill-principal-name {false, true}]
[--fill-role-definition-name {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]Exemplos
Listar atribuições de função no escopo da assinatura.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000Liste atribuições de função no escopo da assinatura, sem preencher a propriedade roleDefinitionName.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name falseListe atribuições de função com a função "Leitor" no escopo da assinatura.
az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Liste as atribuições de função de um cessionário no escopo da assinatura.
az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Listar atribuições de função de um cessionário (com sua ID de objeto) no escopo da assinatura, sem preencher a propriedade principalName. Este comando não consulta o Microsoft Graph.
az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name falseParâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem tornar-se necessários para que o comando seja executado com êxito.
Mostrar todas as atribuições sob a assinatura atual.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Representar um usuário, grupo ou entidade de serviço. Formato suportado: ID do objeto, nome de início de sessão do utilizador ou nome da entidade de serviço.
ID do objeto do cessionário (também conhecido como ID principal). Use este argumento em vez de '--assignee' para contornar a consulta do Microsoft Graph caso a conta logada não tenha permissão ou a máquina não tenha acesso à rede para consultar o Microsoft Graph.
Consulta o Microsoft Graph para obter o userPrincipalName do destinatário (para user), servicePrincipalNames (para service principal) ou displayName (para group), depois preencha a propriedade principalName com ele. Se a conta iniciada não tiver permissão ou se a máquina não tiver acesso à rede para consultar o Microsoft Graph, defina este sinalizador como falso para evitar avisos ou erros.
| Propriedade | Valor |
|---|---|
| Default value: | True |
| Valores aceites: | false, true |
Preencha a propriedade roleDefinitionName além de roleDefinitionId. Esta operação é cara. Se você encontrar um problema de desempenho, defina esse sinalizador como false.
| Propriedade | Valor |
|---|---|
| Default value: | True |
| Valores aceites: | false, true |
Inclua atribuições extras para os grupos dos quais o usuário é membro (transitivamente).
| Propriedade | Valor |
|---|---|
| Default value: | False |
Inclua atribuições aplicadas em escopos pai.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Use-o somente se a função ou atribuição tiver sido adicionada no nível de um grupo de recursos.
Nome ou id da função.
Âmbito em que a atribuição ou definição de função se aplica a, por exemplo, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111222233333/resourceGroups/myGroup, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333/resourceGroups/myGroup/providers/Microsoft. Computação/máquinas virtuais/myVM.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Default value: | json |
| Valores aceites: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Default value: | False |
az role assignment list-changelogs
Listar logs de alterações para atribuições de função.
az role assignment list-changelogs [--acquire-policy-token]
[--change-reference]
[--end-time]
[--start-time]Parâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem tornar-se necessários para que o comando seja executado com êxito.
Aquisição automática de um token Azure Policy para esta operação de recurso.
| Propriedade | Valor |
|---|---|
| Grupo de parâmetros: | Global Policy Arguments |
O ID de referência de alteração relacionado para esta operação de recurso.
| Propriedade | Valor |
|---|---|
| Grupo de parâmetros: | Global Policy Arguments |
A hora de término da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é a hora atual.
A hora de início da consulta no formato %Y-%m-%dT%H:%M:%SZ, por exemplo, 2000-12-31T12:59:59Z. O padrão é 1 hora antes da hora atual.
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Default value: | json |
| Valores aceites: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Default value: | False |
az role assignment update
Atualize uma atribuição de função existente para um usuário, grupo ou entidade de serviço.
az role assignment update --role-assignment
[--acquire-policy-token]
[--change-reference]Exemplos
Atualizar uma atribuição de função a partir de um arquivo JSON.
az role assignment update --role-assignment assignment.jsonAtualize uma atribuição de função a partir de uma cadeia de caracteres JSON. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'Parâmetros Obrigatórios
Descrição de uma atribuição de função existente como JSON ou um caminho para um arquivo que contém uma descrição JSON.
Parâmetros Opcionais
Os seguintes parâmetros são opcionais, mas dependendo do contexto, um ou mais podem tornar-se necessários para que o comando seja executado com êxito.
Aquisição automática de um token Azure Policy para esta operação de recurso.
| Propriedade | Valor |
|---|---|
| Grupo de parâmetros: | Global Policy Arguments |
O ID de referência de alteração relacionado para esta operação de recurso.
| Propriedade | Valor |
|---|---|
| Grupo de parâmetros: | Global Policy Arguments |
Parâmetros de Globais
Aumente a verbosidade do log para mostrar todos os logs de depuração.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Mostrar esta mensagem de ajuda e sair.
Mostrar apenas erros, suprimindo avisos.
| Propriedade | Valor |
|---|---|
| Default value: | False |
Formato de saída.
| Propriedade | Valor |
|---|---|
| Default value: | json |
| Valores aceites: | json, jsonc, none, table, tsv, yaml, yamlc |
Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.
Nome ou ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.
Aumente a verbosidade do registro. Use --debug para logs de depuração completos.
| Propriedade | Valor |
|---|---|
| Default value: | False |
