Compartilhar via


New-AzureRmRoleAssignment

Atribui a função RBAC especificada à entidade se segurança especificada no escopo especificado.

Aviso

O módulo PowerShell do AzureRM foi oficialmente preterido a partir de 29 de fevereiro de 2024. Os usuários são aconselhados a migrar do AzureRM para o módulo do Az PowerShell para garantir o suporte e as atualizações contínuas.

Embora o módulo AzureRM ainda possa funcionar, ele não tem suporte ou será mantido, colocando qualquer uso contínuo a critério e risco do usuário. Consulte nossos recursos de migração para obter diretrizes sobre a transição para o módulo Az.

Sintaxe

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -Scope <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ObjectId <Guid>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -Scope <String>
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

Use o comando New-AzureRMRoleAssignment para conceder acesso. O acesso é concedido atribuindo a função RBAC apropriada a eles no escopo certo. Para conceder acesso a toda a assinatura, atribua uma função no escopo da assinatura. Para conceder acesso a um grupo de recursos específico em uma assinatura, atribua uma função no escopo do grupo de recursos. O assunto da tarefa deve ser especificado. Para especificar um usuário, use os parâmetros SignInName ou Microsoft Entra ObjectId. Para especificar um grupo de segurança, use o parâmetro Microsoft Entra ObjectId. E para especificar um aplicativo Microsoft Entra, use os parâmetros ApplicationId ou ObjectId. A função que está sendo atribuída deve ser especificada usando o parâmetro RoleDefinitionName. O escopo no qual o acesso está sendo concedido pode ser especificado. O padrão é a assinatura selecionada. O escopo da atribuição pode ser especificado usando uma das seguintes combinações de parâmetros: a. Escopo - Este é o escopo totalmente qualificado começando com /subscriptions/<subscriptionId> b. ResourceGroupName - para conceder acesso ao grupo de recursos especificado. c. ResourceName, ResourceType, ResourceGroupName e (opcionalmente) ParentResource – para especificar um recurso específico dentro de um grupo de recursos ao qual conceder acesso.

Exemplos

Exemplo 1

PS C:\> New-AzureRmRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

Conceder acesso à função de Leitor a um usuário em um escopo de grupo de recursos com a Atribuição de Função disponível para delegação

Exemplo 2

PS C:\> Get-AzureRMADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           00001111-aaaa-2222-bbbb-3333cccc4444

PS C:\> New-AzureRmRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName Contributor  -ResourceGroupName rg1

Conceder acesso a um grupo de segurança

Exemplo 3

PS C:\> New-AzureRmRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Conceder acesso a um usuário em um recurso (site)

Exemplo 4

PS C:\> New-AzureRMRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

Conceder acesso a um grupo em um recurso aninhado (sub-rede)

Exemplo 5

PS C:\> $servicePrincipal = New-AzureRmADServicePrincipal -DisplayName "testServiceprincipal"
PS C:\> New-AzureRmRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

Conceder acesso de leitor a uma entidade de serviço

Parâmetros

-AllowDelegation

O sinalizador de delegação ao criar uma atribuição de função.

Tipo:SwitchParameter
Cargo:Named
Valor padrão:False
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False

-ApplicationId

A ID do aplicativo do ServicePrincipal

Tipo:String
Aliases:SPN, ServicePrincipalName
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-DefaultProfile

As credenciais, a conta, o locatário e a assinatura usadas para comunicação com o Azure

Tipo:IAzureContextContainer
Aliases:AzureRmContext, AzureCredential
Cargo:Named
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:False
Aceitar caracteres curinga:False

-ObjectId

Microsoft Entra Objectid do usuário, grupo ou entidade de serviço.

Tipo:Guid
Aliases:Id, PrincipalId
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-ParentResource

O recurso pai na hierarquia (do recurso especificado usando o parâmetro ResourceName). Só deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e ResourceName para construir um escopo hierárquico na forma de um URI relativo que identifica um recurso.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:False
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-ResourceGroupName

O nome do grupo de recursos. Cria uma atribuição que é efetiva no grupo de recursos especificado. Quando usado em conjunto com os parâmetros ResourceName, ResourceType e (opcionalmente) ParentResource, o comando constrói um escopo hierárquico na forma de um URI relativo que identifica um recurso.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-ResourceName

O nome do recurso. Por exemplo, storageaccountprod. Só deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e (opcionalmente)ParentResource para construir um escopo hierárquico na forma de um URI relativo que identifica um recurso.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-ResourceType

O tipo de recurso. Por exemplo, Microsoft.Network/virtualNetworks. Só deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceName e (opcionalmente)ParentResource para construir um escopo hierárquico na forma de um URI relativo que identifica um recurso.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-RoleDefinitionId

ID da função RBAC que precisa ser atribuída à entidade de segurança.

Tipo:Guid
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-RoleDefinitionName

Nome da função RBAC que precisa ser atribuída à entidade de segurança, ou seja, Leitor, Colaborador, Administrador de Rede Virtual etc.

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-Scope

O Escopo da atribuição de função. No formato de URI relativo. Por exemplo, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Se não for especificado, criará a atribuição de função no nível da assinatura. Se especificado, ele deve começar com "/subscriptions/{id}".

Tipo:String
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

-SignInName

O endereço de email ou o nome principal do usuário.

Tipo:String
Aliases:Email, UserPrincipalName
Cargo:Named
Valor padrão:None
Obrigatório:True
Aceitar a entrada de pipeline:True
Aceitar caracteres curinga:False

Entradas

Guid

String

Saídas

PSRoleAssignment

Observações

Palavras-chave: azure, azurerm, arm, recurso, gerenciamento, gerente, recurso, grupo, modelo, implantação