Partilhar via


New-AzRoleAssignment

Atribui a função RBAC especificada à entidade de segurança especificada, no escopo especificado.

O cmdlet pode chamar abaixo a API do Microsoft Graph de acordo com os parâmetros de entrada:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}

Observe que esse cmdlet marcará ObjectType como Unknown na saída se o objeto de atribuição de função não for encontrado ou se a conta atual tiver privilégios insuficientes para obter o tipo de objeto.

Sintaxe

New-AzRoleAssignment
   -ObjectId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -Scope <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -InputFile <String>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

Use o comando New-AzRoleAssignment para conceder acesso. O acesso é concedido atribuindo-lhes a função RBAC apropriada no escopo certo. Para conceder acesso a toda a assinatura, atribua uma função no escopo da assinatura. Para conceder acesso a um grupo de recursos específico dentro de uma assinatura, atribua uma função no escopo do grupo de recursos. O assunto da atribuição deve ser especificado. Para especificar um usuário, use os parâmetros SignInName ou Microsoft Entra ObjectId. Para especificar um grupo de segurança, use o parâmetro Microsoft Entra ObjectId. E para especificar um aplicativo Microsoft Entra, use parâmetros ApplicationId ou ObjectId. A função que está sendo atribuída deve ser especificada usando o parâmetro RoleDefinitionName. O âmbito em que o acesso está a ser concedido pode ser especificado. O padrão é a assinatura selecionada. O escopo da atribuição pode ser especificado usando uma das seguintes combinações de parâmetros a. Escopo - Este é o escopo totalmente qualificado começando com /subscriptions/<subscriptionId> b. ResourceGroupName - para conceder acesso ao grupo de recursos especificado. c. ResourceName, ResourceType, ResourceGroupName e (opcionalmente) ParentResource - para especificar um recurso específico dentro de um grupo de recursos ao qual conceder acesso.

Exemplos

Exemplo 1

New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

Conceder acesso à função Leitor a um usuário em um escopo de grupo de recursos com a Atribuição de Função disponível para delegação

Exemplo 2

Get-AzADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb

New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor  -ResourceGroupName rg1

Conceder acesso a um grupo de segurança

Exemplo 3

New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Conceder acesso a um usuário em um recurso (site)

Exemplo 4

New-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

Conceder acesso a um grupo em um recurso aninhado (sub-rede)

Exemplo 5

$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

Conceder acesso de leitor a uma entidade de serviço

Exemplo 6

$Condition = '(
 (
  !(ActionMatches{''Microsoft.Authorization/roleAssignments/write''})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:PrincipalType] StringEqualsIgnoreCase ''ServicePrincipal''
 )
)
AND
(
 (
  !(ActionMatches{''Microsoft.Authorization/roleAssignments/delete''})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] StringEqualsIgnoreCase ''ServicePrincipal''
 )
)'

$DelegationParams = @{
    AllowDelegation = $true
    Condition = $Condition 
    Scope = "/subscriptions/11112222-bbbb-3333-cccc-4444dddd5555" 
    RoleDefinitionName = 'User Access Administrator' 
    ObjectId = "00001111-aaaa-2222-bbbb-3333cccc4444"
}

New-AzRoleAssignment @DelegationParams

Conceda ao Administrador de Acesso de Usuário por meio de uma assinatura azure com delegação restrita.
A delegação restrita só permitirá que o usuário/entidade de serviço/grupo delegado só possa criar/excluir/atualizar novas atribuições de função para uma entidade de serviço e quaisquer funções.

Exemplo 7

$Condition = '(
 (
  !(ActionMatches{''Microsoft.Authorization/roleAssignments/write''})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:PrincipalType] StringEqualsIgnoreCase ''ServicePrincipal''
  AND
  NOT @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635,18d7d88d-d35e-4fb5-a5c3-7773c20a72d9}
 )
)
AND
(
 (
  !(ActionMatches{''Microsoft.Authorization/roleAssignments/delete''})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] StringEqualsIgnoreCase ''ServicePrincipal''
  AND
  NOT @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635,18d7d88d-d35e-4fb5-a5c3-7773c20a72d9}
 )
)'

$DelegationParams = @{
    AllowDelegation = $true
    Condition = $Condition 
    Scope = "/subscriptions/11112222-bbbb-3333-cccc-4444dddd5555" 
    RoleDefinitionName = 'User Access Administrator' 
    ObjectId = "00001111-aaaa-2222-bbbb-3333cccc4444"
}

New-AzRoleAssignment @DelegationParams

Conceda ao Administrador de Acesso de Usuário por meio de uma assinatura azure com delegação restrita.
A delegação restrita só permitirá que o usuário/entidade de serviço/grupo delegado só possa criar/excluir/atualizar novas atribuições de função para uma entidade de serviço, excluindo a de Proprietário e função de Administrador de Acesso de Usuário.

Parâmetros

-AllowDelegation

O sinalizador de delegação ao criar uma atribuição de função.

Tipo:SwitchParameter
Position:Named
Default value:False
Necessário:False
Aceitar entrada de pipeline:False
Aceitar carateres universais:False

-ApplicationId

A ID do aplicativo ServicePrincipal

Tipo:String
Aliases:SPN, ServicePrincipalName
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-Condition

Condição a ser aplicada à RoleAssignment.

Tipo:String
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ConditionVersion

Versão da condição.

Tipo:String
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-DefaultProfile

As credenciais, a conta, o locatário e a assinatura usados para comunicação com o azure

Tipo:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:False
Aceitar carateres universais:False

-Description

Breve descrição da atribuição da função.

Tipo:String
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-InputFile

Caminho para a atribuição de função json

Tipo:String
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ObjectId

Microsoft Entra Objectid do utilizador, grupo ou entidade de serviço.

Tipo:String
Aliases:Id, PrincipalId
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ObjectType

Para ser usado com ObjectId. Especifica o tipo do objeto asignee

Tipo:String
Aliases:PrincipalType
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ParentResource

O recurso pai na hierarquia (do recurso especificado usando o parâmetro ResourceName). Só deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e ResourceName para construir um escopo hierárquico na forma de um URI relativo que identifique um recurso.

Tipo:String
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ResourceGroupName

O nome do grupo de recursos. Cria uma atribuição que é efetiva no grupo de recursos especificado. Quando usado em conjunto com os parâmetros ResourceName, ResourceType e (opcionalmente)ParentResource, o comando constrói um escopo hierárquico na forma de um URI relativo que identifica um recurso.

Tipo:String
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ResourceName

O nome do recurso. Por exemplo, storageaccountprod. Só deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e (opcionalmente)ParentResource para construir um escopo hierárquico na forma de um URI relativo que identifique um recurso.

Tipo:String
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-ResourceType

O tipo de recurso. Por exemplo, Microsoft.Network/virtualNetworks. Só deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceName e (opcionalmente)ParentResource para construir um escopo hierárquico na forma de um URI relativo que identifique um recurso.

Tipo:String
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-RoleDefinitionId

Id da função RBAC que precisa ser atribuída ao principal.

Tipo:Guid
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-RoleDefinitionName

Nome da função RBAC que precisa ser atribuída ao principal, ou seja, Leitor, Colaborador, Administrador de Rede Virtual, etc.

Tipo:String
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-Scope

O Escopo da atribuição de função. No formato de URI relativo. Por exemplo, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Se não for especificado, criará a atribuição de função no nível da assinatura. Se especificado, deve começar com "/subscriptions/{id}".

Tipo:String
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-SignInName

O endereço de e-mail ou o nome principal do usuário.

Tipo:String
Aliases:Email, UserPrincipalName
Position:Named
Default value:None
Necessário:True
Aceitar entrada de pipeline:True
Aceitar carateres universais:False

-SkipClientSideScopeValidation

Se especificado, ignore a validação do escopo do lado do cliente.

Tipo:SwitchParameter
Position:Named
Default value:None
Necessário:False
Aceitar entrada de pipeline:False
Aceitar carateres universais:False

Entradas

String

Guid

Saídas

PSRoleAssignment

Notas

Saiba mais sobre delegação de atribuição de função - https://learn.microsoft.com/en-us/azure/role-based-access-control/delegate-role-assignments-portal?tabs=template
Palavras-chave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment