Sdílet prostřednictvím

az role assignment

Správa přiřazení rolí

Příkazy

Name Description Typ Stav
az role assignment create

Vytvoří nové přiřazení role pro uživatele, skupinu nebo instanční objekt.

 Core GA
az role assignment delete

Odstraňte přiřazení rolí.

 Core GA
az role assignment list

Zobrazení seznamu přiřazení rolí

 Core GA
az role assignment list-changelogs

Výpis protokolu změn pro přiřazení rolí

 Core GA
az role assignment update

Aktualizace stávajícího přiřazení role pro uživatele, skupinu nebo instanční objekt

 Core GA

az role assignment create

Upravit

Vytvoří nové přiřazení role pro uživatele, skupinu nebo instanční objekt.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Příklady

Vytvořte přiřazení role k udělení zadané role čtenáře na virtuálním počítači Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Vytvořte přiřazení role pro přiřazeného uživatele s popisem a podmínkou.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Vytvořte přiřazení role s vlastním názvem přiřazení.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Povinné parametry

--role

Název nebo ID role

--scope

Rozsah, na který se přiřazení role nebo definice vztahuje, například /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroup nebo /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Volitelné parametry

Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.

--assignee

Představuje uživatele, skupinu nebo instanční objekt. podporovaný formát: ID objektu, přihlašovací jméno uživatele nebo hlavní název služby.

--assignee-object-id

ID objektu řešitele (označované také jako ID ředitele). Tento argument použijte místo '--assignee' k obejití dotazu Microsoft Graph v případě, že přihlášený účet nemá žádné oprávnění nebo počítač nemá přístup k síti k dotazu na Microsoft Graph.

--assignee-principal-type

Použijte s parametrem --assignee-object-id, abyste se vyhnuli chybám způsobeným latencí šíření v Microsoft Graphu.

Vlastnost Hodnota
Přípustné hodnoty: ForeignGroup, Group, ServicePrincipal, User
--condition
Preview

Podmínka, pod kterou může uživatel udělit oprávnění.

--condition-version
Preview

Verze syntaxe podmínky Pokud je zadán parametr --condition bez parametru --condition-version, výchozí hodnota je 2.0.

--description
Preview

Popis přiřazení role

--name -n

Identifikátor GUID pro přiřazení role. Musí být jedinečné a odlišné pro každé přiřazení role. Pokud tento parametr vynecháte, vygeneruje se nový identifikátor GUID.

Globální parametry
--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost Hodnota
Default value: False
--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost Hodnota
Default value: False
--output -o

Výstupní formát

Vlastnost Hodnota
Default value: json
Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc
--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost Hodnota
Default value: False

az role assignment delete

Upravit

Odstraňte přiřazení rolí.

Tento příkaz odstraní všechna přiřazení rolí, která splňují zadanou podmínku dotazu. Před spuštěním tohoto příkazu důrazně doporučujeme spustit az role assignment list nejprve se stejnými argumenty, abyste zjistili, která přiřazení rolí se odstraní.

az role assignment delete [--assignee]
                          [--assignee-object-id]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Příklady

Odstraňte všechna přiřazení rolí s rolí Čtenář v oboru předplatného.

az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Odstraňte všechna přiřazení rolí přiřazeného v oboru předplatného.

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Odstraňte všechna přiřazení rolí nabyvatele (s jeho ID objektu) v oboru předplatného.

az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Volitelné parametry

Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.

--assignee

Představuje uživatele, skupinu nebo instanční objekt. podporovaný formát: ID objektu, přihlašovací jméno uživatele nebo hlavní název služby.

--assignee-object-id

ID objektu řešitele (označované také jako ID ředitele). Tento argument použijte místo '--assignee' k obejití dotazu Microsoft Graph v případě, že přihlášený účet nemá žádné oprávnění nebo počítač nemá přístup k síti k dotazu na Microsoft Graph.

--ids

ID přiřazení role oddělené mezerami

--include-inherited

Zahrnout přiřazení použitá u nadřazených oborů

Vlastnost Hodnota
Default value: False
--resource-group -g

Použijte ji pouze v případě, že byla role nebo přiřazení přidána na úrovni skupiny prostředků.

--role

Název nebo ID role

--scope

Rozsah, na který se přiřazení role nebo definice vztahuje, například /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroup nebo /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Aktuálně no-op.

Globální parametry
--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost Hodnota
Default value: False
--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost Hodnota
Default value: False
--output -o

Výstupní formát

Vlastnost Hodnota
Default value: json
Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc
--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost Hodnota
Default value: False

az role assignment list

Upravit

Zobrazení seznamu přiřazení rolí

Ve výchozím nastavení se zobrazí pouze přiřazení s vymezeným předplatným. Chcete-li zobrazit přiřazení s vymezeným oborem podle prostředku nebo skupiny, použijte --allpříkaz .

az role assignment list [--all]
                        [--assignee]
                        [--assignee-object-id]
                        [--fill-principal-name {false, true}]
                        [--fill-role-definition-name {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Příklady

Vypíše přiřazení rolí v oboru předplatného.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000

Vypíše přiřazení rolí v oboru předplatného bez vyplnění vlastnosti roleDefinitionName.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false

Vypište přiřazení rolí s rolí "Čtenář" v oboru předplatného.

az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Vypíše přiřazení rolí nabyvatele v rozsahu předplatného.

az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Vypíše přiřazení rolí nabyvatele (s jeho ID objektu) v oboru předplatného bez vyplnění vlastnosti principalName. Tento příkaz se nezadává dotaz na Microsoft Graph.

az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false

Volitelné parametry

Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.

--all

Zobrazí všechna přiřazení v aktuálním předplatném.

Vlastnost Hodnota
Default value: False
--assignee

Představuje uživatele, skupinu nebo instanční objekt. podporovaný formát: ID objektu, přihlašovací jméno uživatele nebo hlavní název služby.

--assignee-object-id

ID objektu řešitele (označované také jako ID ředitele). Tento argument použijte místo '--assignee' k obejití dotazu Microsoft Graph v případě, že přihlášený účet nemá žádné oprávnění nebo počítač nemá přístup k síti k dotazu na Microsoft Graph.

--fill-principal-name

Dotaz na Microsoft Graph a získání userPrincipalName (pro uživatele), servicePrincipalNames (pro instanční objekt) nebo displayName (pro skupinu) a pak jím vyplňte vlastnost principalName. Pokud přihlášený účet nemá žádné oprávnění nebo počítač nemá přístup k síti k dotazování Microsoft Graphu, nastavte tento příznak na false, abyste se vyhnuli upozornění nebo chybě.

Vlastnost Hodnota
Default value: True
Přípustné hodnoty: false, true
--fill-role-definition-name

Vyplňte vlastnost roleDefinitionName kromě roleDefinitionId. Tato operace je nákladná. Pokud narazíte na problém s výkonem, nastavte tento příznak na false.

Vlastnost Hodnota
Default value: True
Přípustné hodnoty: false, true
--include-groups

Zahrňte další přiřazení ke skupinám, jejichž je uživatel členem (přechodně).

Vlastnost Hodnota
Default value: False
--include-inherited

Zahrnout přiřazení použitá u nadřazených oborů

Vlastnost Hodnota
Default value: False
--resource-group -g

Použijte ji pouze v případě, že byla role nebo přiřazení přidána na úrovni skupiny prostředků.

--role

Název nebo ID role

--scope

Rozsah, na který se přiřazení role nebo definice vztahuje, například /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroup nebo /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Globální parametry
--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost Hodnota
Default value: False
--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost Hodnota
Default value: False
--output -o

Výstupní formát

Vlastnost Hodnota
Default value: json
Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc
--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost Hodnota
Default value: False

az role assignment list-changelogs

Upravit

Výpis protokolu změn pro přiřazení rolí

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Volitelné parametry

Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.

--end-time

Koncový čas dotazu ve formátu %Y-%m-%dT%H:%M:%SZ, například 2000-12-31T12:59:59Z. Výchozí hodnota je aktuální čas.

--start-time

Počáteční čas dotazu ve formátu %Y-%m-%dT%H:%M:%SZ, například 2000-12-31T12:59:59Z. Výchozí hodnota je 1 hodina před aktuálním časem.

Globální parametry
--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost Hodnota
Default value: False
--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost Hodnota
Default value: False
--output -o

Výstupní formát

Vlastnost Hodnota
Default value: json
Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc
--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost Hodnota
Default value: False

az role assignment update

Upravit

Aktualizace stávajícího přiřazení role pro uživatele, skupinu nebo instanční objekt

az role assignment update --role-assignment

Příklady

Aktualizujte přiřazení role ze souboru JSON.

az role assignment update --role-assignment assignment.json

Aktualizujte přiřazení role z řetězce JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Povinné parametry

--role-assignment

Popis existujícího přiřazení role jako JSON nebo cesta k souboru obsahujícímu popis JSON

Globální parametry
--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

Vlastnost Hodnota
Default value: False
--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazit pouze chyby, potlačit upozornění.

Vlastnost Hodnota
Default value: False
--output -o

Výstupní formát

Vlastnost Hodnota
Default value: json
Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc
--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

Vlastnost Hodnota
Default value: False