New-AzureRmRoleAssignment
Atribui a função RBAC especificada à entidade se segurança especificada no escopo especificado.
Aviso
O módulo PowerShell do AzureRM foi oficialmente preterido a partir de 29 de fevereiro de 2024. Os usuários são aconselhados a migrar do AzureRM para o módulo do Az PowerShell para garantir o suporte e as atualizações contínuas.
Embora o módulo AzureRM ainda possa funcionar, ele não tem suporte ou será mantido, colocando qualquer uso contínuo a critério e risco do usuário. Consulte nossos recursos de migração para obter diretrizes sobre a transição para o módulo Az.
Sintaxe
New-AzureRmRoleAssignment
-ObjectId <Guid>
-Scope <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ObjectId <Guid>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ObjectId <Guid>
-Scope <String>
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Description
Use o comando New-AzureRMRoleAssignment para conceder acesso. O acesso é concedido atribuindo a função RBAC apropriada a eles no escopo certo. Para conceder acesso a toda a assinatura, atribua uma função no escopo da assinatura. Para conceder acesso a um grupo de recursos específico em uma assinatura, atribua uma função no escopo do grupo de recursos. O assunto da tarefa deve ser especificado. Para especificar um usuário, use os parâmetros SignInName ou Microsoft Entra ObjectId. Para especificar um grupo de segurança, use o parâmetro Microsoft Entra ObjectId. E para especificar um aplicativo Microsoft Entra, use os parâmetros ApplicationId ou ObjectId. A função que está sendo atribuída deve ser especificada usando o parâmetro RoleDefinitionName. O escopo no qual o acesso está sendo concedido pode ser especificado. O padrão é a assinatura selecionada. O escopo da atribuição pode ser especificado usando uma das seguintes combinações de parâmetros: a. Escopo - Este é o escopo totalmente qualificado começando com /subscriptions/<subscriptionId> b. ResourceGroupName - para conceder acesso ao grupo de recursos especificado. c. ResourceName, ResourceType, ResourceGroupName e (opcionalmente) ParentResource – para especificar um recurso específico dentro de um grupo de recursos ao qual conceder acesso.
Exemplos
Exemplo 1
PS C:\> New-AzureRmRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation
Conceder acesso à função de Leitor a um usuário em um escopo de grupo de recursos com a Atribuição de Função disponível para delegação
Exemplo 2
PS C:\> Get-AzureRMADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 00001111-aaaa-2222-bbbb-3333cccc4444
PS C:\> New-AzureRmRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName Contributor -ResourceGroupName rg1
Conceder acesso a um grupo de segurança
Exemplo 3
PS C:\> New-AzureRmRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Conceder acesso a um usuário em um recurso (site)
Exemplo 4
PS C:\> New-AzureRMRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network
Conceder acesso a um grupo em um recurso aninhado (sub-rede)
Exemplo 5
PS C:\> $servicePrincipal = New-AzureRmADServicePrincipal -DisplayName "testServiceprincipal"
PS C:\> New-AzureRmRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId
Conceder acesso de leitor a uma entidade de serviço
Parâmetros
-AllowDelegation
O sinalizador de delegação ao criar uma atribuição de função.
Tipo: | SwitchParameter |
Cargo: | Named |
Valor padrão: | False |
Obrigatório: | False |
Aceitar a entrada de pipeline: | False |
Aceitar caracteres curinga: | False |
-ApplicationId
A ID do aplicativo do ServicePrincipal
Tipo: | String |
Aliases: | SPN, ServicePrincipalName |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | True |
Aceitar caracteres curinga: | False |
-DefaultProfile
As credenciais, a conta, o locatário e a assinatura usadas para comunicação com o Azure
Tipo: | IAzureContextContainer |
Aliases: | AzureRmContext, AzureCredential |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | False |
Aceitar a entrada de pipeline: | False |
Aceitar caracteres curinga: | False |
-ObjectId
Microsoft Entra Objectid do usuário, grupo ou entidade de serviço.
Tipo: | Guid |
Aliases: | Id, PrincipalId |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | True |
Aceitar caracteres curinga: | False |
-ParentResource
O recurso pai na hierarquia (do recurso especificado usando o parâmetro ResourceName). Só deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e ResourceName para construir um escopo hierárquico na forma de um URI relativo que identifica um recurso.
Tipo: | String |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | False |
Aceitar a entrada de pipeline: | True |
Aceitar caracteres curinga: | False |
-ResourceGroupName
O nome do grupo de recursos. Cria uma atribuição que é efetiva no grupo de recursos especificado. Quando usado em conjunto com os parâmetros ResourceName, ResourceType e (opcionalmente) ParentResource, o comando constrói um escopo hierárquico na forma de um URI relativo que identifica um recurso.
Tipo: | String |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | True |
Aceitar caracteres curinga: | False |
-ResourceName
O nome do recurso. Por exemplo, storageaccountprod. Só deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e (opcionalmente)ParentResource para construir um escopo hierárquico na forma de um URI relativo que identifica um recurso.
Tipo: | String |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | True |
Aceitar caracteres curinga: | False |
-ResourceType
O tipo de recurso. Por exemplo, Microsoft.Network/virtualNetworks. Só deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceName e (opcionalmente)ParentResource para construir um escopo hierárquico na forma de um URI relativo que identifica um recurso.
Tipo: | String |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | True |
Aceitar caracteres curinga: | False |
-RoleDefinitionId
ID da função RBAC que precisa ser atribuída à entidade de segurança.
Tipo: | Guid |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | True |
Aceitar caracteres curinga: | False |
-RoleDefinitionName
Nome da função RBAC que precisa ser atribuída à entidade de segurança, ou seja, Leitor, Colaborador, Administrador de Rede Virtual etc.
Tipo: | String |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | True |
Aceitar caracteres curinga: | False |
-Scope
O Escopo da atribuição de função. No formato de URI relativo. Por exemplo, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Se não for especificado, criará a atribuição de função no nível da assinatura. Se especificado, ele deve começar com "/subscriptions/{id}".
Tipo: | String |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | True |
Aceitar caracteres curinga: | False |
-SignInName
O endereço de email ou o nome principal do usuário.
Tipo: | String |
Aliases: | Email, UserPrincipalName |
Cargo: | Named |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | True |
Aceitar caracteres curinga: | False |
Entradas
Saídas
Observações
Palavras-chave: azure, azurerm, arm, recurso, gerenciamento, gerente, recurso, grupo, modelo, implantação