Partilhar via


az synapse role assignment

Gerencie as atribuições de funções da Synapse.

Comandos

Name Description Tipo Status
az synapse role assignment create

Crie uma atribuição de função.

Principal GA
az synapse role assignment delete

Exclua atribuições de função do espaço de trabalho.

Principal GA
az synapse role assignment list

Listar atribuições de função.

Principal GA
az synapse role assignment show

Obtenha uma atribuição de função por id.

Principal GA

az synapse role assignment create

Crie uma atribuição de função.

az synapse role assignment create --role
                                  --workspace-name
                                  [--assignee]
                                  [--assignee-object-id]
                                  [--assignee-principal-type {Group, ServicePrincipal, User}]
                                  [--assignment-id]
                                  [--item]
                                  [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                  [--scope]

Exemplos

Crie uma atribuição de função usando o nome da entidade de serviço.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name

Crie uma atribuição de função usando o nome principal do usuário.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee username@contoso.com

Crie uma atribuição de função usando objectId do Usuário, Grupo ou Entidade de Serviço.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee 00000000-0000-0000-0000-000000000000

Crie uma atribuição de função no escopo.

az synapse role assignment create --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}" --role "Synapse Administrator" --assignee username@contoso.com

Crie uma atribuição de função no escopo que combina tipo de item e nome do item.

az synapse role assignment create --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName" --role "Synapse Administrator" \
--assignee username@contoso.com

Quando você for um usuário com permissão para gerenciar a atribuição de função do RBAC do Azure no espaço de trabalho, mas não um Administrador Synapse, crie a atribuição de função por -role roleid. O motivo para isso é que, quando você tenta adicionar uma função "Synapse Administrator", o cmdlet precisa obter a ID da função do nome da função que requer permissão de leitura do espaço de trabalho, que o usuário atual não tem.

az synapse role assignment create \
--workspace-name testsynapseworkspace \
--role "6e4bf58a-b8e1-4cc3-bbf9-d73143322b78" \
--assignee username@contoso.com

Parâmetros Obrigatórios

--role

O nome/id da função atribuído à entidade de segurança.

--workspace-name

O nome do espaço de trabalho.

Parâmetros Opcionais

--assignee

Representar um usuário ou entidade de serviço. Formato suportado: ID do objeto, nome de início de sessão do utilizador ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--assignee' para ignorar a invocação da API do Graph em caso de privilégios insuficientes. Esse parâmetro só funciona com ids de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use a ID principal. Para entidades de serviço, use a id do objeto e não a id do aplicativo.

--assignee-principal-type --assignee-type

Use com --assignee-object-id para evitar erros causados pela latência de propagação no AAD Graph.

Valores aceites: Group, ServicePrincipal, User
--assignment-id

ID de atribuição de função personalizada no formato guid, se não for especificado, o id de atribuição será gerado aleatoriamente.

--item

Item com acesso concedido no espaço de trabalho. Usando com --item-type para combinar o escopo da atribuição.

--item-type

Tipo de item com acesso concedido no espaço de trabalho. Usando com --item para combinar o escopo da atribuição.

Valores aceites: bigDataPools, credentials, integrationRuntimes, linkedServices
--scope

Um escopo define os recursos ou artefatos aos quais o acesso se aplica. Synapse suporta escopos hierárquicos. As permissões concedidas em um escopo de nível superior são herdadas por objetos em um nível inferior. No Synapse RBAC, o escopo de nível superior é um espaço de trabalho. A atribuição de uma função com o escopo do espaço de trabalho concede permissões a todos os objetos aplicáveis no espaço de trabalho.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az synapse role assignment delete

Exclua atribuições de função do espaço de trabalho.

az synapse role assignment delete --workspace-name
                                  [--assignee]
                                  [--assignee-object-id]
                                  [--ids]
                                  [--item]
                                  [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                  [--role]
                                  [--scope]
                                  [--yes]

Exemplos

Exclua atribuições de função por função e cessionário.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name

Exclua atribuições de função por id/nome da função.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator"

Exclua atribuições de função pelo nome da entidade de serviço.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee sp_name

Exclua atribuições de função pelo nome principal do usuário.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee username@contoso.com

Exclua atribuições de função por objectId do Usuário, Grupo ou Entidade de Serviço.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee 00000000-0000-0000-0000-000000000001

Exclua atribuições de função por ids.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--ids 10000000-0000-0000-0000-10000000-10000000-0000-0000-0000-10000000

Exclua atribuições de função por escopo.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--scope "workspaces/testsynapseworkspace/linkedServices/testlinkedServices"

Parâmetros Obrigatórios

--workspace-name

O nome do espaço de trabalho.

Parâmetros Opcionais

--assignee

Representar um usuário ou entidade de serviço. Formato suportado: ID do objeto, nome de início de sessão do utilizador ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--assignee' para ignorar a invocação da API do Graph em caso de privilégios insuficientes. Esse parâmetro só funciona com ids de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use a ID principal. Para entidades de serviço, use a id do objeto e não a id do aplicativo.

--ids

IDs de atribuição de função separadas por espaço. Você não deve fornecer --role ou --cessionário quando --ids é fornecido.

--item

Item com acesso concedido no espaço de trabalho. Usando com --item-type para combinar o escopo da atribuição. Usando a atribuição de função az com condição de filtro antes de executar a operação de exclusão para estar claramente ciente de quais atribuições serão excluídas.

--item-type

Tipo de item com acesso concedido no espaço de trabalho. Usando com --item para combinar o escopo da atribuição. Usando a atribuição de função az com condição de filtro antes de executar a operação de exclusão para estar claramente ciente de quais atribuições serão excluídas.

Valores aceites: bigDataPools, credentials, integrationRuntimes, linkedServices
--role

O nome/id da função atribuído à entidade de segurança.

--scope

Um escopo define os recursos ou artefatos aos quais o acesso se aplica. Synapse suporta escopos hierárquicos. As permissões concedidas em um escopo de nível superior são herdadas por objetos em um nível inferior. No Synapse RBAC, o escopo de nível superior é um espaço de trabalho. Usando a atribuição de função az com condição de filtro antes de executar a operação de exclusão para estar claramente ciente de quais atribuições serão excluídas.

--yes -y

Não solicite confirmação.

Default value: False
Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az synapse role assignment list

Listar atribuições de função.

az synapse role assignment list --workspace-name
                                [--assignee]
                                [--assignee-object-id]
                                [--item]
                                [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                [--role]
                                [--scope]

Exemplos

Listar atribuições de função.

az synapse role assignment list --workspace-name testsynapseworkspace

Listar atribuições de função por id/nome de função.

az synapse role assignment list --workspace-name testsynapseworkspace \
--role "Synapse Apache Spark Administrator"

Listar atribuições de função por cessionário.

az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee sp_name

Listar atribuições de função por objectId do Usuário, Grupo ou Entidade de Serviço.

az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee-object-id 00000000-0000-0000-0000-000000000000

Listar atribuições de função por escopo.

az synapse role assignment list --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}"

Liste atribuições de função por tipo de item e nome de item.

az synapse role assignment list --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName"

Parâmetros Obrigatórios

--workspace-name

O nome do espaço de trabalho.

Parâmetros Opcionais

--assignee

Representar um usuário ou entidade de serviço. Formato suportado: ID do objeto, nome de início de sessão do utilizador ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--assignee' para ignorar a invocação da API do Graph em caso de privilégios insuficientes. Esse parâmetro só funciona com ids de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use a ID principal. Para entidades de serviço, use a id do objeto e não a id do aplicativo.

--item

Item com acesso concedido no espaço de trabalho. Usando com --item-type para combinar o escopo da atribuição.

--item-type

Tipo de item com acesso concedido no espaço de trabalho. Usando com --item para combinar o escopo da atribuição.

Valores aceites: bigDataPools, credentials, integrationRuntimes, linkedServices
--role

O nome/id da função atribuído à entidade de segurança.

--scope

Um escopo define os recursos ou artefatos aos quais o acesso se aplica. Synapse suporta escopos hierárquicos. As permissões concedidas em um escopo de nível superior são herdadas por objetos em um nível inferior. No Synapse RBAC, o escopo de nível superior é um espaço de trabalho. A atribuição de uma função com o escopo do espaço de trabalho concede permissões a todos os objetos aplicáveis no espaço de trabalho.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.

az synapse role assignment show

Obtenha uma atribuição de função por id.

az synapse role assignment show --id
                                --workspace-name

Exemplos

Obtenha uma atribuição de função por id.

az synapse role assignment show --workspace-name testsynapseworkspace \
--id 00000000-0000-0000-0000-000000000000

Parâmetros Obrigatórios

--id

Id da função atribuída à entidade de segurança.

--workspace-name

O nome do espaço de trabalho.

Parâmetros de Globais
--debug

Aumente a verbosidade do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceites: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

o nome ou o ID da subscrição. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_IDo .

--verbose

Aumente a verbosidade do registro. Use --debug para logs de depuração completos.