Sdílet prostřednictvím


az role assignment

Správa přiřazení rolí

Příkazy

Name Description Typ Stav
az role assignment create

Vytvoří nové přiřazení role pro uživatele, skupinu nebo instanční objekt.

Základ GA
az role assignment delete

Odstraňte přiřazení rolí.

Základ GA
az role assignment list

Zobrazení seznamu přiřazení rolí

Základ GA
az role assignment list-changelogs

Výpis protokolu změn pro přiřazení rolí

Základ GA
az role assignment update

Aktualizace stávajícího přiřazení role pro uživatele, skupinu nebo instanční objekt

Základ GA

az role assignment create

Vytvoří nové přiřazení role pro uživatele, skupinu nebo instanční objekt.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Příklady

Vytvořte přiřazení role k udělení zadané role čtenáře na virtuálním počítači Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Vytvořte přiřazení role pro přiřazeného uživatele s popisem a podmínkou.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Vytvořte přiřazení role s vlastním názvem přiřazení.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Povinné parametry

--role

Název nebo ID role

--scope

Rozsah, na který se přiřazení role nebo definice vztahuje, například /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroup nebo /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Volitelné parametry

--assignee

Představuje uživatele, skupinu nebo instanční objekt. podporovaný formát: ID objektu, přihlašovací jméno uživatele nebo hlavní název služby.

--assignee-object-id

Tento parametr použijte místo příkazu --assignee k obejití vyvolání rozhraní Graph API v případě nedostatečných oprávnění. Tento parametr funguje pouze s ID objektů pro uživatele, skupiny, instanční objekty a spravované identity. Pro spravované identity použijte ID objektu zabezpečení. Pro instanční objekty použijte ID objektu, nikoli ID aplikace.

--assignee-principal-type

Použijte s parametrem --assignee-object-id, abyste se vyhnuli chybám způsobeným latencí šíření v Microsoft Graphu.

Přípustné hodnoty: ForeignGroup, Group, ServicePrincipal, User
--condition
Preview

Podmínka, pod kterou může uživatel udělit oprávnění.

--condition-version
Preview

Verze syntaxe podmínky Pokud je zadán parametr --condition bez parametru --condition-version, výchozí hodnota je 2.0.

--description
Preview

Popis přiřazení role

--name -n

Identifikátor GUID pro přiřazení role. Musí být jedinečné a odlišné pro každé přiřazení role. Pokud tento parametr vynecháte, nový identifikátor GUID je genretd.

Globální parametry
--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az role assignment delete

Odstraňte přiřazení rolí.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Příklady

Odstraňte přiřazení rolí. (automaticky vygenerováno)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Volitelné parametry

--assignee

Představuje uživatele, skupinu nebo instanční objekt. podporovaný formát: ID objektu, přihlašovací jméno uživatele nebo hlavní název služby.

--ids

ID přiřazení role oddělené mezerami

--include-inherited

Zahrnout přiřazení použitá u nadřazených oborů

Default value: False
--resource-group -g

Použijte ji pouze v případě, že byla role nebo přiřazení přidána na úrovni skupiny prostředků.

--role

Název nebo ID role

--scope

Rozsah, na který se přiřazení role nebo definice vztahuje, například /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroup nebo /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Pokračujte odstraněním všech přiřazení v rámci předplatného.

Globální parametry
--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az role assignment list

Zobrazení seznamu přiřazení rolí

Ve výchozím nastavení se zobrazí pouze přiřazení s vymezeným předplatným. Chcete-li zobrazit přiřazení s vymezeným oborem podle prostředku nebo skupiny, použijte --allpříkaz .

[UPOZORNĚNÍ] 31. srpna 2024 budou správci klasického předplatného Azure vyřazeni. Po 31. srpnu 2024 riskuje všichni klasiátoři ztrátu přístupu k předplatnému. Odstraňte klasické správce, kteří už nepotřebují přístup, nebo přiřaďte roli Azure RBAC pro jemně odstupňované řízení přístupu. Další informace: https://go.microsoft.com/fwlink/?linkid=2238474.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Volitelné parametry

--all

Zobrazí všechna přiřazení v aktuálním předplatném.

Default value: False
--assignee

Představuje uživatele, skupinu nebo instanční objekt. podporovaný formát: ID objektu, přihlašovací jméno uživatele nebo hlavní název služby.

--include-classic-administrators
Zastaralé

Možnost --include-classic-administrators je zastaralá a bude odebrána v budoucí verzi.

Uveďte výchozí přiřazení rolí pro klasické správce předplatného, neboli spolusprávce.

Přípustné hodnoty: false, true
Default value: False
--include-groups

Zahrňte další přiřazení ke skupinám, jejichž je uživatel členem (tranzitivně).

Default value: False
--include-inherited

Zahrnout přiřazení použitá u nadřazených oborů

Default value: False
--resource-group -g

Použijte ji pouze v případě, že byla role nebo přiřazení přidána na úrovni skupiny prostředků.

--role

Název nebo ID role

--scope

Rozsah, na který se přiřazení role nebo definice vztahuje, například /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroup nebo /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Globální parametry
--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az role assignment list-changelogs

Výpis protokolu změn pro přiřazení rolí

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Volitelné parametry

--end-time

Koncový čas dotazu ve formátu %Y-%m-%dT%H:%M:%SZ, například 2000-12-31T12:59:59Z. Výchozí hodnota je aktuální čas.

--start-time

Počáteční čas dotazu ve formátu %Y-%m-%dT%H:%M:%SZ, například 2000-12-31T12:59:59Z. Výchozí hodnota je 1 hodina před aktuálním časem.

Globální parametry
--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az role assignment update

Aktualizace stávajícího přiřazení role pro uživatele, skupinu nebo instanční objekt

az role assignment update --role-assignment

Příklady

Aktualizujte přiřazení role ze souboru JSON.

az role assignment update --role-assignment assignment.json

Aktualizujte přiřazení role z řetězce JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Povinné parametry

--role-assignment

Popis existujícího přiřazení role jako JSON nebo cesta k souboru obsahujícímu popis JSON

Globální parametry
--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.