New-AzureRmRoleAssignment

Modul:

AzureRM.Resources

Přiřadí zadanou roli RBAC zadanému objektu zabezpečení v zadaném oboru.

Upozorňující

Modul AzureRM PowerShell byl od 29. února 2024 oficiálně zastaralý. Uživatelům se doporučuje migrovat z AzureRM do modulu Az PowerShell, aby se zajistila nepřetržitá podpora a aktualizace.

I když může modul AzureRM stále fungovat, už se neudržuje ani nepodporuje, přičemž jakékoli další použití se bude umisťovat podle vlastního uvážení a rizika uživatele. Pokyny k přechodu na modul Az najdete v našich zdrojích informací o migraci.

Syntax

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -Scope <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -Scope <String>
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

K udělení přístupu použijte příkaz New-AzureRMRoleAssignment. Přístup je udělen přiřazením příslušné role RBAC k nim ve správném rozsahu. Pokud chcete udělit přístup k celému předplatnému, přiřaďte roli v oboru předplatného. Pokud chcete udělit přístup ke konkrétní skupině prostředků v rámci předplatného, přiřaďte roli v oboru skupiny prostředků. Musí být zadán předmět přiřazení. Pokud chcete zadat uživatele, použijte parametry SignInName nebo Microsoft Entra ObjectId. Pokud chcete zadat skupinu zabezpečení, použijte parametr Microsoft Entra ObjectId. A pokud chcete zadat aplikaci Microsoft Entra, použijte parametry ApplicationId nebo ObjectId. Přiřazenou roli je nutné zadat pomocí parametru RoleDefinitionName. Je možné zadat obor, na kterém se uděluje přístup. Ve výchozím nastavení se vybrané předplatné nastaví. Rozsah přiřazení lze zadat pomocí jedné z následujících kombinací parametrů a. Rozsah – jedná se o plně kvalifikovaný obor začínající na /subscriptions/<subscriptionId> b. ResourceGroupName – udělení přístupu k zadané skupině prostředků c. ResourceName, ResourceType, ResourceGroupName a (volitelně) ParentResource – pokud chcete zadat konkrétní prostředek v rámci skupiny prostředků pro udělení přístupu.

Příklady

Příklad 1

PS C:\> New-AzureRmRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

Udělení přístupu k roli Čtenář uživateli v oboru skupiny prostředků s dostupným přiřazením role pro delegování

Příklad 2

PS C:\> Get-AzureRMADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb

PS C:\> New-AzureRmRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor  -ResourceGroupName rg1

Udělení přístupu ke skupině zabezpečení

Příklad 3

PS C:\> New-AzureRmRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Udělení přístupu uživateli na prostředku (webu)

Příklad 4

PS C:\> New-AzureRMRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

Udělení přístupu ke skupině ve vnořeném prostředku (podsíti)

Příklad 5

PS C:\> $servicePrincipal = New-AzureRmADServicePrincipal -DisplayName "testServiceprincipal"
PS C:\> New-AzureRmRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

Udělení přístupu čtenáře k instančnímu objektu

Parametry

-AllowDelegation

Příznak delegování při vytváření přiřazení role.

Typ:	SwitchParameter
Position:	Named
výchozí hodnota:	False
Vyžadováno:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-ApplicationId

ID aplikace servicePrincipal

Typ:	String
Aliases:	SPN, ServicePrincipalName
Position:	Named
výchozí hodnota:	None
Vyžadováno:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-DefaultProfile

Přihlašovací údaje, účet, tenant a předplatné používané ke komunikaci s Azure

Typ:	IAzureContextContainer
Aliases:	AzureRmContext, AzureCredential
Position:	Named
výchozí hodnota:	None
Vyžadováno:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-ObjectId

Microsoft Entra Objectid uživatele, skupiny nebo instančního objektu.

Typ:	Guid
Aliases:	Id, PrincipalId
Position:	Named
výchozí hodnota:	None
Vyžadováno:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-ParentResource

Nadřazený prostředek v hierarchii (prostředku zadaného pomocí parametru ResourceName). Měla by být použita pouze ve spojení s parametry ResourceGroupName, ResourceType a ResourceName k vytvoření hierarchického oboru ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:	String
Position:	Named
výchozí hodnota:	None
Vyžadováno:	False
Accept pipeline input:	True
Accept wildcard characters:	False

-ResourceGroupName

Název skupiny prostředků. Vytvoří přiřazení, které je účinné v zadané skupině prostředků. Pokud se používá společně s parametry ResourceName, ResourceType a (volitelně)ParentResource, příkaz vytvoří hierarchický obor ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:	String
Position:	Named
výchozí hodnota:	None
Vyžadováno:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-ResourceName

Název prostředku. Například účet úložiště. Měly by se používat pouze ve spojení s parametry ResourceGroupName, ResourceType a (volitelně)ParentResource k vytvoření hierarchického oboru ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:	String
Position:	Named
výchozí hodnota:	None
Vyžadováno:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-ResourceType

Typ zdroje. Například Microsoft.Network/virtualNetworks. Měly by se používat pouze ve spojení s parametry ResourceGroupName, ResourceName a (volitelně)ParentResource k vytvoření hierarchického oboru ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:	String
Position:	Named
výchozí hodnota:	None
Vyžadováno:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-RoleDefinitionId

ID role RBAC, která musí být přiřazena k objektu zabezpečení.

Typ:	Guid
Position:	Named
výchozí hodnota:	None
Vyžadováno:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-RoleDefinitionName

Název role RBAC, kterou je potřeba přiřadit k objektu zabezpečení, tj. čtenáři, přispěvateli, virtuální síti Správa istrator atd.

Typ:	String
Position:	Named
výchozí hodnota:	None
Vyžadováno:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-Scope

Rozsah přiřazení role. Ve formátu relativního identifikátoru URI. Například /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Pokud není zadáno, vytvoří přiřazení role na úrovni předplatného. Pokud je zadaný, měl by začínat na /subscriptions/{id}.

Typ:	String
Position:	Named
výchozí hodnota:	None
Vyžadováno:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-SignInName

E-mailová adresa nebo hlavní název uživatele.

Typ:	String
Aliases:	Email, UserPrincipalName
Position:	Named
výchozí hodnota:	None
Vyžadováno:	True
Accept pipeline input:	True
Accept wildcard characters:	False

Vstupy

Guid

String

Výstupy

PSRoleAssignment

Poznámky

Klíčová slova: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment

Související odkazy

• Get-AzureRmRoleAssignment
• Remove-AzureRmRoleAssignment
• Get-AzureRmRoleDefinition