Compartilhar via


az synapse role assignment

Gerenciar as atribuições de função da Synapse.

Comandos

Nome Description Tipo Status
az synapse role assignment create

Crie uma atribuição de função.

Núcleo GA
az synapse role assignment delete

Excluir atribuições de função do espaço de trabalho.

Núcleo GA
az synapse role assignment list

Listar atribuições de função.

Núcleo GA
az synapse role assignment show

Obtenha uma atribuição de função por id.

Núcleo GA

az synapse role assignment create

Crie uma atribuição de função.

az synapse role assignment create --role
                                  --workspace-name
                                  [--assignee]
                                  [--assignee-object-id]
                                  [--assignee-principal-type {Group, ServicePrincipal, User}]
                                  [--assignment-id]
                                  [--item]
                                  [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                  [--scope]

Exemplos

Crie uma atribuição de função usando o nome da entidade de serviço.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name

Crie uma atribuição de função usando o nome principal do usuário.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee username@contoso.com

Crie uma atribuição de função usando objectId do Usuário, Grupo ou Entidade de Serviço.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee 00000000-0000-0000-0000-000000000000

Crie uma atribuição de função no escopo.

az synapse role assignment create --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}" --role "Synapse Administrator" --assignee username@contoso.com

Crie uma atribuição de função no escopo que combine tipo de item e nome do item.

az synapse role assignment create --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName" --role "Synapse Administrator" \
--assignee username@contoso.com

Quando você for um usuário com permissão para gerenciar a atribuição de função RBAC do Azure no espaço de trabalho, mas não um administrador do Synapse, crie a atribuição de função por -role roleid. A razão para isso é , quando você tenta adicionar uma função "Synapse Administrator", o cmdlet precisa obter a ID da função do nome da função que requer permissão de leitura do espaço de trabalho, que o usuário atual não tem.

az synapse role assignment create \
--workspace-name testsynapseworkspace \
--role "6e4bf58a-b8e1-4cc3-bbf9-d73143322b78" \
--assignee username@contoso.com

Parâmetros Exigidos

--role

O nome/id da função atribuído à entidade de segurança.

--workspace-name

O nome do espaço de trabalho.

Parâmetros Opcionais

--assignee

Representar um usuário ou entidade de serviço. Formato suportado: id do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--assignee' para ignorar a invocação da Graph API em caso de privilégios insuficientes. Esse parâmetro só funciona com ids de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use o id principal. Para entidades de serviço, use a ID do objeto e não a ID do aplicativo.

--assignee-principal-type --assignee-type

Use com --assignee-object-id para evitar erros causados pela latência de propagação no AAD Graph.

Valores aceitos: Group, ServicePrincipal, User
--assignment-id

ID de atribuição de função personalizada no formato guid, se não for especificado, o id de atribuição será gerado aleatoriamente.

--item

Item com acesso concedido no espaço de trabalho. Usando com --item-type para combinar o escopo da atribuição.

--item-type

Tipo de item com acesso concedido no espaço de trabalho. Usando com --item para combinar o escopo da atribuição.

Valores aceitos: bigDataPools, credentials, integrationRuntimes, linkedServices
--scope

Um escopo define os recursos ou os artefatos aos quais o acesso se aplica. O Azure Synapse dá suporte a escopos hierárquicos. As permissões concedidas em um escopo de nível superior são herdadas por objetos em um nível inferior. No RBAC do Azure Synapse, o escopo de nível superior é um workspace. A atribuição de uma função com escopo de workspace concede permissões a todos os objetos aplicáveis no workspace.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az synapse role assignment delete

Excluir atribuições de função do espaço de trabalho.

az synapse role assignment delete --workspace-name
                                  [--assignee]
                                  [--assignee-object-id]
                                  [--ids]
                                  [--item]
                                  [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                  [--role]
                                  [--scope]
                                  [--yes]

Exemplos

Exclua atribuições de função por função e cessionário.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name

Exclua atribuições de função por id/nome da função.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator"

Exclua atribuições de função por nome da entidade de serviço.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee sp_name

Exclua atribuições de função por nome principal de usuário.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee username@contoso.com

Exclua atribuições de função por objectId do Usuário, Grupo ou Entidade de Serviço.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee 00000000-0000-0000-0000-000000000001

Excluir atribuições de função por ids.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--ids 10000000-0000-0000-0000-10000000-10000000-0000-0000-0000-10000000

Excluir atribuições de função por escopo.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--scope "workspaces/testsynapseworkspace/linkedServices/testlinkedServices"

Parâmetros Exigidos

--workspace-name

O nome do espaço de trabalho.

Parâmetros Opcionais

--assignee

Representar um usuário ou entidade de serviço. Formato suportado: id do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--assignee' para ignorar a invocação da Graph API em caso de privilégios insuficientes. Esse parâmetro só funciona com ids de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use o id principal. Para entidades de serviço, use a ID do objeto e não a ID do aplicativo.

--ids

IDs de atribuição de função separados por espaço. Você não deve fornecer --role ou --cessionário quando --ids é fornecido.

--item

Item com acesso concedido no espaço de trabalho. Usando com --item-type para combinar o escopo da atribuição. Usando a atribuição de função az com condição de filtro antes de executar a operação de exclusão para estar claramente ciente de quais atribuições serão excluídas.

--item-type

Tipo de item com acesso concedido no espaço de trabalho. Usando com --item para combinar o escopo da atribuição. Usando a atribuição de função az com condição de filtro antes de executar a operação de exclusão para estar claramente ciente de quais atribuições serão excluídas.

Valores aceitos: bigDataPools, credentials, integrationRuntimes, linkedServices
--role

O nome/id da função atribuído à entidade de segurança.

--scope

Um escopo define os recursos ou os artefatos aos quais o acesso se aplica. O Azure Synapse dá suporte a escopos hierárquicos. As permissões concedidas em um escopo de nível superior são herdadas por objetos em um nível inferior. No RBAC do Azure Synapse, o escopo de nível superior é um workspace. Usando a atribuição de função az com condição de filtro antes de executar a operação de exclusão para estar claramente ciente de quais atribuições serão excluídas.

--yes -y

Não solicite confirmação.

Valor padrão: False
Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az synapse role assignment list

Listar atribuições de função.

az synapse role assignment list --workspace-name
                                [--assignee]
                                [--assignee-object-id]
                                [--item]
                                [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                [--role]
                                [--scope]

Exemplos

Listar atribuições de função.

az synapse role assignment list --workspace-name testsynapseworkspace

Listar atribuições de função por id/nome da função.

az synapse role assignment list --workspace-name testsynapseworkspace \
--role "Synapse Apache Spark Administrator"

Listar atribuições de função por cessionário.

az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee sp_name

Listar atribuições de função por objectId do Usuário, Grupo ou Entidade de Serviço.

az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee-object-id 00000000-0000-0000-0000-000000000000

Listar atribuições de função por escopo.

az synapse role assignment list --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}"

Listar atribuições de função por tipo de item e nome do item.

az synapse role assignment list --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName"

Parâmetros Exigidos

--workspace-name

O nome do espaço de trabalho.

Parâmetros Opcionais

--assignee

Representar um usuário ou entidade de serviço. Formato suportado: id do objeto, nome de entrada do usuário ou nome da entidade de serviço.

--assignee-object-id

Use esse parâmetro em vez de '--assignee' para ignorar a invocação da Graph API em caso de privilégios insuficientes. Esse parâmetro só funciona com ids de objeto para usuários, grupos, entidades de serviço e identidades gerenciadas. Para identidades gerenciadas, use o id principal. Para entidades de serviço, use a ID do objeto e não a ID do aplicativo.

--item

Item com acesso concedido no espaço de trabalho. Usando com --item-type para combinar o escopo da atribuição.

--item-type

Tipo de item com acesso concedido no espaço de trabalho. Usando com --item para combinar o escopo da atribuição.

Valores aceitos: bigDataPools, credentials, integrationRuntimes, linkedServices
--role

O nome/id da função atribuído à entidade de segurança.

--scope

Um escopo define os recursos ou os artefatos aos quais o acesso se aplica. O Azure Synapse dá suporte a escopos hierárquicos. As permissões concedidas em um escopo de nível superior são herdadas por objetos em um nível inferior. No RBAC do Azure Synapse, o escopo de nível superior é um workspace. A atribuição de uma função com escopo de workspace concede permissões a todos os objetos aplicáveis no workspace.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.

az synapse role assignment show

Obtenha uma atribuição de função por id.

az synapse role assignment show --id
                                --workspace-name

Exemplos

Obtenha uma atribuição de função por id.

az synapse role assignment show --workspace-name testsynapseworkspace \
--id 00000000-0000-0000-0000-000000000000

Parâmetros Exigidos

--id

Id da função atribuída à entidade de segurança.

--workspace-name

O nome do espaço de trabalho.

Parâmetros Globais
--debug

Aumente o detalhamento do log para mostrar todos os logs de depuração.

--help -h

Mostrar esta mensagem de ajuda e sair.

--only-show-errors

Mostrar apenas erros, suprimindo avisos.

--output -o

Formato de saída.

Valores aceitos: json, jsonc, none, table, tsv, yaml, yamlc
Valor padrão: json
--query

Cadeia de caracteres de consulta JMESPath. Consulte http://jmespath.org/ para obter mais informações e exemplos.

--subscription

Nome ou ID da assinatura. Você pode configurar a assinatura padrão usando az account set -s NAME_OR_ID.

--verbose

Aumentar o detalhamento do log. Use --debug para logs de depuração completos.