Partager via


az role assignment

Gérer les attributions de rôles.

Commandes

Nom Description Type État
az role assignment create

Crée une nouvelle attribution de rôle pour un utilisateur, un groupe ou un principal de service.

Noyau Assemblée générale
az role assignment delete

Supprimez les attributions de rôles.

Noyau Assemblée générale
az role assignment list

Répertorier les attributions de rôles.

Noyau Assemblée générale
az role assignment list-changelogs

Répertorier les journaux de modification pour les attributions de rôles.

Noyau Assemblée générale
az role assignment update

Mettez à jour une attribution de rôle existante pour un utilisateur, un groupe ou un principal de service.

Noyau Assemblée générale

az role assignment create

Crée une nouvelle attribution de rôle pour un utilisateur, un groupe ou un principal de service.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Exemples

Créez une attribution de rôle pour accorder au bénéficiaire spécifié le rôle Lecteur sur une machine virtuelle Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Créez une attribution de rôle pour un assigneur avec description et condition.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Créez une attribution de rôle avec votre propre nom d’attribution.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Paramètres obligatoires

--role

Nom ou ID du rôle.

--scope

Étendue à laquelle l’attribution ou la définition de rôle s’applique, par exemple, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroups, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Paramètres facultatifs

--assignee

Représente un utilisateur, un groupe ou un principal de service. format pris en charge : ID d’objet, nom de connexion de l’utilisateur ou nom du principal de service.

--assignee-object-id

L’ID d’objet de la personne assignée (également appelé ID principal). Utilisez cet argument au lieu de « --assignee » pour contourner la requête Microsoft Graph si le compte connecté ne dispose d’aucune autorisation ou si l’ordinateur n’a pas d’accès réseau pour interroger Microsoft Graph.

--assignee-principal-type

Utilisez --assignee-object-id pour éviter les erreurs causées par la latence de propagation dans Microsoft Graph.

Valeurs acceptées: ForeignGroup, Group, ServicePrincipal, User
--condition
Préversion

Condition sous laquelle l’utilisateur peut se voir accorder une autorisation.

--condition-version
Préversion

Version de la syntaxe de condition. Si --condition est spécifié sans --condition-version, la valeur par défaut est 2.0.

--description
Préversion

Description de l’attribution de rôle.

--name -n

GUID pour l’attribution de rôle. Il doit être unique et différent pour chaque attribution de rôle. S’il est omis, un nouveau GUID est généré.

Paramètres globaux
--debug

Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

Valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc
Valeur par défaut: json
--query

Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.

az role assignment delete

Supprimez les attributions de rôles.

Cette commande supprime toutes les attributions de rôles qui répondent à la condition de requête fournie. Avant d’exécuter cette commande, il est vivement recommandé d’exécuter az role assignment list d’abord avec les mêmes arguments pour voir quelles attributions de rôles seront supprimées.

az role assignment delete [--assignee]
                          [--assignee-object-id]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Exemples

Supprimez toutes les attributions de rôles avec le rôle « Lecteur » dans l’étendue de l’abonnement.

az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Supprimez toutes les attributions de rôles d’un bénéficiaire dans l’étendue de l’abonnement.

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Supprimez toutes les attributions de rôle d’une personne assignée (avec son ID d’objet) dans l’étendue de l’abonnement.

az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Paramètres facultatifs

--assignee

Représente un utilisateur, un groupe ou un principal de service. format pris en charge : ID d’objet, nom de connexion de l’utilisateur ou nom du principal de service.

--assignee-object-id

L’ID d’objet de la personne assignée (également appelé ID principal). Utilisez cet argument au lieu de « --assignee » pour contourner la requête Microsoft Graph si le compte connecté ne dispose d’aucune autorisation ou si l’ordinateur n’a pas d’accès réseau pour interroger Microsoft Graph.

--ids

ID d’attribution de rôle séparés par l’espace.

--include-inherited

Incluez les affectations appliquées aux étendues parentes.

Valeur par défaut: False
--resource-group -g

Utilisez-la uniquement si le rôle ou l’attribution a été ajouté au niveau d’un groupe de ressources.

--role

Nom ou ID du rôle.

--scope

Étendue à laquelle l’attribution ou la définition de rôle s’applique, par exemple, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroups, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Actuellement no-op.

Paramètres globaux
--debug

Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

Valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc
Valeur par défaut: json
--query

Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.

az role assignment list

Répertorier les attributions de rôles.

Par défaut, seules les affectations délimitées à l’abonnement sont affichées. Pour afficher les affectations délimitées par ressource ou par groupe, utilisez --all.

az role assignment list [--all]
                        [--assignee]
                        [--assignee-object-id]
                        [--fill-principal-name {false, true}]
                        [--fill-role-definition-name {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Exemples

Répertorier les attributions de rôles dans l’étendue de l’abonnement.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000

Répertoriez les attributions de rôles dans l’étendue de l’abonnement, sans remplir la propriété roleDefinitionName.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false

Répertoriez les attributions de rôles avec le rôle « Lecteur » dans l’étendue de l’abonnement.

az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Répertorier les attributions de rôles d’une personne assignée dans l’étendue de l’abonnement.

az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Répertoriez les attributions de rôles d’une personne assignée (avec son ID d’objet) dans la portée de l’abonnement, sans remplir la propriété principalName. Cette commande n’interroge pas Microsoft Graph.

az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false

Paramètres facultatifs

--all

Afficher toutes les affectations sous l’abonnement actuel.

Valeur par défaut: False
--assignee

Représente un utilisateur, un groupe ou un principal de service. format pris en charge : ID d’objet, nom de connexion de l’utilisateur ou nom du principal de service.

--assignee-object-id

L’ID d’objet de la personne assignée (également appelé ID principal). Utilisez cet argument au lieu de « --assignee » pour contourner la requête Microsoft Graph si le compte connecté ne dispose d’aucune autorisation ou si l’ordinateur n’a pas d’accès réseau pour interroger Microsoft Graph.

--fill-principal-name

Interrogez Microsoft Graph pour obtenir le nom userPrincipalName (pour l’utilisateur), servicePrincipalNames (pour le principal de service) ou displayName (pour le groupe) de la personne affectée, puis remplissez la propriété principalName avec celle-ci. Si le compte connecté ne dispose d’aucune autorisation ou si l’ordinateur n’a pas d’accès réseau pour interroger Microsoft Graph, définissez cet indicateur sur false pour éviter tout avertissement ou erreur.

Valeurs acceptées: false, true
Valeur par défaut: True
--fill-role-definition-name

Remplissez la propriété roleDefinitionName en plus de roleDefinitionId. Cette opération est coûteuse. Si vous rencontrez un problème de performances, définissez cet indicateur sur false.

Valeurs acceptées: false, true
Valeur par défaut: True
--include-groups

Inclure des affectations supplémentaires aux groupes dont l’utilisateur est membre (transitivement).

Valeur par défaut: False
--include-inherited

Incluez les affectations appliquées aux étendues parentes.

Valeur par défaut: False
--resource-group -g

Utilisez-la uniquement si le rôle ou l’attribution a été ajouté au niveau d’un groupe de ressources.

--role

Nom ou ID du rôle.

--scope

Étendue à laquelle l’attribution ou la définition de rôle s’applique, par exemple, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroups, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Paramètres globaux
--debug

Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

Valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc
Valeur par défaut: json
--query

Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.

az role assignment list-changelogs

Répertorier les journaux de modification pour les attributions de rôles.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Paramètres facultatifs

--end-time

Heure de fin de la requête au format %Y-%m-%dT%H :%M :%SZ, par exemple 2000-12-31T12:59:59Z. La valeur par défaut est l’heure actuelle.

--start-time

Heure de début de la requête au format %Y-%m-%dT%H :%M :%SZ, par exemple 2000-12-31T12:59:59Z. La valeur par défaut est 1 heure antérieure à l’heure actuelle.

Paramètres globaux
--debug

Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

Valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc
Valeur par défaut: json
--query

Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.

az role assignment update

Mettez à jour une attribution de rôle existante pour un utilisateur, un groupe ou un principal de service.

az role assignment update --role-assignment

Exemples

Mettez à jour une attribution de rôle à partir d’un fichier JSON.

az role assignment update --role-assignment assignment.json

Mettez à jour une attribution de rôle à partir d’une chaîne JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Paramètres obligatoires

--role-assignment

Description d’une attribution de rôle existante en tant que JSON ou chemin d’accès à un fichier contenant une description JSON.

Paramètres globaux
--debug

Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.

--help -h

Affichez ce message d’aide et quittez.

--only-show-errors

Afficher uniquement les erreurs, en supprimant les avertissements.

--output -o

Format de sortie.

Valeurs acceptées: json, jsonc, none, table, tsv, yaml, yamlc
Valeur par défaut: json
--query

Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.

--subscription

Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID.

--verbose

Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.