az synapse role assignment

Verwalten Sie die Rollenzuweisungen von Synapse.

Befehle

Name	Beschreibung	Typ	Status
az synapse role assignment create	Erstellen Sie eine Rollenzuweisung.	Kernspeicher	Allgemein verfügbar
az synapse role assignment delete	Rollenzuweisungen des Arbeitsbereichs löschen.	Kernspeicher	Allgemein verfügbar
az synapse role assignment list	Listen Sie die Rollenzuweisungen auf:	Kernspeicher	Allgemein verfügbar
az synapse role assignment show	Abrufen einer Rollenzuweisung nach ID.	Kernspeicher	Allgemein verfügbar

az synapse role assignment create

Erstellen Sie eine Rollenzuweisung.

az synapse role assignment create --role
                                  --workspace-name
                                  [--assignee]
                                  [--assignee-object-id]
                                  [--assignee-principal-type {Group, ServicePrincipal, User}]
                                  [--assignment-id]
                                  [--item]
                                  [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                  [--scope]

Beispiele

Erstellen Sie eine Rollenzuweisung mit dem Dienstprinzipalnamen.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name

Erstellen Sie eine Rollenzuweisung mithilfe des Benutzerprinzipalnamens.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee username@contoso.com

Erstellen Sie eine Rollenzuweisung mit objectId des Benutzers, der Gruppe oder des Dienstprinzipals.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee 00000000-0000-0000-0000-000000000000

Erstellen Sie eine Rollenzuweisung im Bereich.

az synapse role assignment create --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}" --role "Synapse Administrator" --assignee username@contoso.com

Erstellen Sie eine Rollenzuweisung im Bereich der Kombination aus Elementtyp und Elementname.

az synapse role assignment create --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName" --role "Synapse Administrator" \
--assignee username@contoso.com

Wenn Sie ein Benutzer sind, der die Berechtigung zum Verwalten der Azure RBAC-Rollenzuweisung im Arbeitsbereich, aber nicht eines Synapse-Administrators hat, erstellen Sie bitte die Rollenzuweisung nach -roleid. Der Grund hierfür ist, dass das Cmdlet beim Hinzufügen einer "Synapse-Administrator"-Rolle die Rollen-ID aus dem Rollennamen abrufen muss, der die Berechtigung zum Lesen des Arbeitsbereichs erfordert, über die der aktuelle Benutzer nicht verfügt.

az synapse role assignment create \
--workspace-name testsynapseworkspace \
--role "6e4bf58a-b8e1-4cc3-bbf9-d73143322b78" \
--assignee username@contoso.com

Erforderliche Parameter

--role

Der Rollenname/die ID, die dem Prinzipal zugewiesen ist.

--workspace-name

Der Arbeitsbereichsname.

Optionale Parameter

--assignee

Stellt einen Benutzer oder Dienstprinzipal dar. Unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Verwenden Sie diesen Parameter anstelle von "--assignee", um graph-API-Aufrufe im Falle unzureichender Berechtigungen zu umgehen. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Verwenden Sie für verwaltete Identitäten die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die App-ID.

--assignee-principal-type --assignee-type

Wird mit --assignee-object-id verwendet, um Fehler zu vermeiden, die durch die Verteilungslatenz in AAD Graph verursacht werden.

Zulässige Werte: Group, ServicePrincipal, User

--assignment-id

Benutzerdefinierte Rollenzuweisungs-ID im GUID-Format, falls nicht angegeben, wird die Zuordnungs-ID zufällig generiert.

--item

Element, dem der Zugriff im Arbeitsbereich gewährt wurde. Wird mit --item-type verwendet, um den Umfang der Zuordnung zu kombinieren.

--item-type

Elementtyp, der Zugriff im Arbeitsbereich gewährt hat. Wird mit "--item" verwendet, um den Umfang der Zuordnung zu kombinieren.

Zulässige Werte: bigDataPools, credentials, integrationRuntimes, linkedServices

--scope

Mit einem Bereich werden die Ressourcen oder Artefakte definiert, für die der Zugriff gilt. Synapse unterstützt hierarchische Bereiche. Berechtigungen, die auf einem Bereich höherer Ebene erteilt wurden, werden auf Objekte auf niedrigerer Ebene vererbt. In Synapse RBAC ist der Bereich auf der obersten Ebene der Arbeitsbereich. Durch das Zuweisen einer Rolle auf Arbeitsbereichsebene werden die zugehörigen Berechtigungen allen entsprechenden Objekten im Arbeitsbereich erteilt.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az synapse role assignment delete

Rollenzuweisungen des Arbeitsbereichs löschen.

az synapse role assignment delete --workspace-name
                                  [--assignee]
                                  [--assignee-object-id]
                                  [--ids]
                                  [--item]
                                  [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                  [--role]
                                  [--scope]
                                  [--yes]

Beispiele

Löschen Sie Rollenzuweisungen nach Rolle und Zuweisung.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name

Löschen Sie Rollenzuweisungen nach Rollen-ID/Name.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator"

Löschen Sie Rollenzuweisungen nach Dienstprinzipalname.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee sp_name

Löschen Sie Rollenzuweisungen nach Benutzerprinzipalname.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee username@contoso.com

Löschen Sie Rollenzuweisungen nach objectId des Benutzers, der Gruppe oder des Dienstprinzipals.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee 00000000-0000-0000-0000-000000000001

Löschen Sie Rollenzuweisungen nach IDs.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--ids 10000000-0000-0000-0000-10000000-10000000-0000-0000-0000-10000000

Rollenzuweisungen nach Bereich löschen.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--scope "workspaces/testsynapseworkspace/linkedServices/testlinkedServices"

Erforderliche Parameter

--workspace-name

Der Arbeitsbereichsname.

Optionale Parameter

--assignee

Stellt einen Benutzer oder Dienstprinzipal dar. Unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Verwenden Sie diesen Parameter anstelle von "--assignee", um graph-API-Aufrufe im Falle unzureichender Berechtigungen zu umgehen. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Verwenden Sie für verwaltete Identitäten die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die App-ID.

--ids

Leerzeichen getrennte Rollenzuweisungs-IDs. Sie sollten "--role" oder "-assignee" nicht bereitstellen, wenn --ids bereitgestellt werden.

--item

Element, dem der Zugriff im Arbeitsbereich gewährt wurde. Wird mit --item-type verwendet, um den Umfang der Zuordnung zu kombinieren. Verwenden von az-Rollenzuweisung mit Filterbedingung vor dem Ausführen des Löschvorgangs, um deutlich zu wissen, welche Zuordnungen gelöscht werden.

--item-type

Elementtyp, der Zugriff im Arbeitsbereich gewährt hat. Wird mit "--item" verwendet, um den Umfang der Zuordnung zu kombinieren. Verwenden von az-Rollenzuweisung mit Filterbedingung vor dem Ausführen des Löschvorgangs, um deutlich zu wissen, welche Zuordnungen gelöscht werden.

Zulässige Werte: bigDataPools, credentials, integrationRuntimes, linkedServices

--role

Der Rollenname/die ID, die dem Prinzipal zugewiesen ist.

--scope

Mit einem Bereich werden die Ressourcen oder Artefakte definiert, für die der Zugriff gilt. Synapse unterstützt hierarchische Bereiche. Berechtigungen, die auf einem Bereich höherer Ebene erteilt wurden, werden auf Objekte auf niedrigerer Ebene vererbt. In Synapse RBAC ist der Bereich auf der obersten Ebene der Arbeitsbereich. Verwenden von az-Rollenzuweisung mit Filterbedingung vor dem Ausführen des Löschvorgangs, um deutlich zu wissen, welche Zuordnungen gelöscht werden.

--yes -y

Nicht zur Bestätigung auffordern

Standardwert: False

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az synapse role assignment list

Listen Sie die Rollenzuweisungen auf:

az synapse role assignment list --workspace-name
                                [--assignee]
                                [--assignee-object-id]
                                [--item]
                                [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                [--role]
                                [--scope]

Beispiele

Listen Sie die Rollenzuweisungen auf:

az synapse role assignment list --workspace-name testsynapseworkspace

Auflisten von Rollenzuweisungen nach Rollen-ID/Name.

az synapse role assignment list --workspace-name testsynapseworkspace \
--role "Synapse Apache Spark Administrator"

Rollenzuweisungen nach Zuweisen auflisten.

az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee sp_name

Auflisten von Rollenzuweisungen nach objectId des Benutzers, der Gruppe oder des Dienstprinzipals.

az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee-object-id 00000000-0000-0000-0000-000000000000

Rollenzuweisungen nach Bereich auflisten.

az synapse role assignment list --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}"

Rollenzuweisungen nach Elementtyp und Elementname auflisten.

az synapse role assignment list --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName"

Erforderliche Parameter

--workspace-name

Der Arbeitsbereichsname.

Optionale Parameter

--assignee

Stellt einen Benutzer oder Dienstprinzipal dar. Unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Verwenden Sie diesen Parameter anstelle von "--assignee", um graph-API-Aufrufe im Falle unzureichender Berechtigungen zu umgehen. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Verwenden Sie für verwaltete Identitäten die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die App-ID.

--item

Element, dem der Zugriff im Arbeitsbereich gewährt wurde. Wird mit --item-type verwendet, um den Umfang der Zuordnung zu kombinieren.

--item-type

Elementtyp, der Zugriff im Arbeitsbereich gewährt hat. Wird mit "--item" verwendet, um den Umfang der Zuordnung zu kombinieren.

Zulässige Werte: bigDataPools, credentials, integrationRuntimes, linkedServices

--role

Der Rollenname/die ID, die dem Prinzipal zugewiesen ist.

--scope

Mit einem Bereich werden die Ressourcen oder Artefakte definiert, für die der Zugriff gilt. Synapse unterstützt hierarchische Bereiche. Berechtigungen, die auf einem Bereich höherer Ebene erteilt wurden, werden auf Objekte auf niedrigerer Ebene vererbt. In Synapse RBAC ist der Bereich auf der obersten Ebene der Arbeitsbereich. Durch das Zuweisen einer Rolle auf Arbeitsbereichsebene werden die zugehörigen Berechtigungen allen entsprechenden Objekten im Arbeitsbereich erteilt.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az synapse role assignment show

Abrufen einer Rollenzuweisung nach ID.

az synapse role assignment show --id
                                --workspace-name

Beispiele

Abrufen einer Rollenzuweisung nach ID.

az synapse role assignment show --workspace-name testsynapseworkspace \
--id 00000000-0000-0000-0000-000000000000

Erforderliche Parameter

--id

ID der Rolle, die dem Prinzipal zugewiesen ist.

--workspace-name

Der Arbeitsbereichsname.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.