az role assignment
Gérer les attributions de rôles.
Commandes
Nom | Description | Type | État |
---|---|---|---|
az role assignment create |
Crée une nouvelle attribution de rôle pour un utilisateur, un groupe ou un principal de service. |
Noyau | Assemblée générale |
az role assignment delete |
Supprimez les attributions de rôles. |
Noyau | Assemblée générale |
az role assignment list |
Répertorier les attributions de rôles. |
Noyau | Assemblée générale |
az role assignment list-changelogs |
Répertorier les journaux de modification pour les attributions de rôles. |
Noyau | Assemblée générale |
az role assignment update |
Mettez à jour une attribution de rôle existante pour un utilisateur, un groupe ou un principal de service. |
Noyau | Assemblée générale |
az role assignment create
Crée une nouvelle attribution de rôle pour un utilisateur, un groupe ou un principal de service.
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]
Exemples
Créez une attribution de rôle pour accorder au bénéficiaire spécifié le rôle Lecteur sur une machine virtuelle Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm
Créez une attribution de rôle pour un assigneur avec description et condition.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"
Créez une attribution de rôle avec votre propre nom d’attribution.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000
Paramètres obligatoires
Nom ou ID du rôle.
Étendue à laquelle l’attribution ou la définition de rôle s’applique, par exemple, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroups, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Paramètres facultatifs
Représente un utilisateur, un groupe ou un principal de service. format pris en charge : ID d’objet, nom de connexion de l’utilisateur ou nom du principal de service.
L’ID d’objet de la personne assignée (également appelé ID principal). Utilisez cet argument au lieu de « --assignee » pour contourner la requête Microsoft Graph si le compte connecté ne dispose d’aucune autorisation ou si l’ordinateur n’a pas d’accès réseau pour interroger Microsoft Graph.
Utilisez --assignee-object-id pour éviter les erreurs causées par la latence de propagation dans Microsoft Graph.
Condition sous laquelle l’utilisateur peut se voir accorder une autorisation.
Version de la syntaxe de condition. Si --condition est spécifié sans --condition-version, la valeur par défaut est 2.0.
Description de l’attribution de rôle.
GUID pour l’attribution de rôle. Il doit être unique et différent pour chaque attribution de rôle. S’il est omis, un nouveau GUID est généré.
Paramètres globaux
Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID
.
Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.
az role assignment delete
Supprimez les attributions de rôles.
Cette commande supprime toutes les attributions de rôles qui répondent à la condition de requête fournie. Avant d’exécuter cette commande, il est vivement recommandé d’exécuter az role assignment list
d’abord avec les mêmes arguments pour voir quelles attributions de rôles seront supprimées.
az role assignment delete [--assignee]
[--assignee-object-id]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]
Exemples
Supprimez toutes les attributions de rôles avec le rôle « Lecteur » dans l’étendue de l’abonnement.
az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000
Supprimez toutes les attributions de rôles d’un bénéficiaire dans l’étendue de l’abonnement.
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000
Supprimez toutes les attributions de rôle d’une personne assignée (avec son ID d’objet) dans l’étendue de l’abonnement.
az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000
Paramètres facultatifs
Représente un utilisateur, un groupe ou un principal de service. format pris en charge : ID d’objet, nom de connexion de l’utilisateur ou nom du principal de service.
L’ID d’objet de la personne assignée (également appelé ID principal). Utilisez cet argument au lieu de « --assignee » pour contourner la requête Microsoft Graph si le compte connecté ne dispose d’aucune autorisation ou si l’ordinateur n’a pas d’accès réseau pour interroger Microsoft Graph.
ID d’attribution de rôle séparés par l’espace.
Incluez les affectations appliquées aux étendues parentes.
Utilisez-la uniquement si le rôle ou l’attribution a été ajouté au niveau d’un groupe de ressources.
Nom ou ID du rôle.
Étendue à laquelle l’attribution ou la définition de rôle s’applique, par exemple, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroups, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Actuellement no-op.
Paramètres globaux
Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID
.
Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.
az role assignment list
Répertorier les attributions de rôles.
Par défaut, seules les affectations délimitées à l’abonnement sont affichées. Pour afficher les affectations délimitées par ressource ou par groupe, utilisez --all
.
az role assignment list [--all]
[--assignee]
[--assignee-object-id]
[--fill-principal-name {false, true}]
[--fill-role-definition-name {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
Exemples
Répertorier les attributions de rôles dans l’étendue de l’abonnement.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000
Répertoriez les attributions de rôles dans l’étendue de l’abonnement, sans remplir la propriété roleDefinitionName.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false
Répertoriez les attributions de rôles avec le rôle « Lecteur » dans l’étendue de l’abonnement.
az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000
Répertorier les attributions de rôles d’une personne assignée dans l’étendue de l’abonnement.
az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000
Répertoriez les attributions de rôles d’une personne assignée (avec son ID d’objet) dans la portée de l’abonnement, sans remplir la propriété principalName. Cette commande n’interroge pas Microsoft Graph.
az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false
Paramètres facultatifs
Afficher toutes les affectations sous l’abonnement actuel.
Représente un utilisateur, un groupe ou un principal de service. format pris en charge : ID d’objet, nom de connexion de l’utilisateur ou nom du principal de service.
L’ID d’objet de la personne assignée (également appelé ID principal). Utilisez cet argument au lieu de « --assignee » pour contourner la requête Microsoft Graph si le compte connecté ne dispose d’aucune autorisation ou si l’ordinateur n’a pas d’accès réseau pour interroger Microsoft Graph.
Interrogez Microsoft Graph pour obtenir le nom userPrincipalName (pour l’utilisateur), servicePrincipalNames (pour le principal de service) ou displayName (pour le groupe) de la personne affectée, puis remplissez la propriété principalName avec celle-ci. Si le compte connecté ne dispose d’aucune autorisation ou si l’ordinateur n’a pas d’accès réseau pour interroger Microsoft Graph, définissez cet indicateur sur false pour éviter tout avertissement ou erreur.
Remplissez la propriété roleDefinitionName en plus de roleDefinitionId. Cette opération est coûteuse. Si vous rencontrez un problème de performances, définissez cet indicateur sur false.
Inclure des affectations supplémentaires aux groupes dont l’utilisateur est membre (transitivement).
Incluez les affectations appliquées aux étendues parentes.
Utilisez-la uniquement si le rôle ou l’attribution a été ajouté au niveau d’un groupe de ressources.
Nom ou ID du rôle.
Étendue à laquelle l’attribution ou la définition de rôle s’applique, par exemple, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroups, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Paramètres globaux
Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID
.
Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.
az role assignment list-changelogs
Répertorier les journaux de modification pour les attributions de rôles.
az role assignment list-changelogs [--end-time]
[--start-time]
Paramètres facultatifs
Heure de fin de la requête au format %Y-%m-%dT%H :%M :%SZ, par exemple 2000-12-31T12:59:59Z. La valeur par défaut est l’heure actuelle.
Heure de début de la requête au format %Y-%m-%dT%H :%M :%SZ, par exemple 2000-12-31T12:59:59Z. La valeur par défaut est 1 heure antérieure à l’heure actuelle.
Paramètres globaux
Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID
.
Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.
az role assignment update
Mettez à jour une attribution de rôle existante pour un utilisateur, un groupe ou un principal de service.
az role assignment update --role-assignment
Exemples
Mettez à jour une attribution de rôle à partir d’un fichier JSON.
az role assignment update --role-assignment assignment.json
Mettez à jour une attribution de rôle à partir d’une chaîne JSON. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'
Paramètres obligatoires
Description d’une attribution de rôle existante en tant que JSON ou chemin d’accès à un fichier contenant une description JSON.
Paramètres globaux
Augmentez la verbosité de la journalisation pour afficher tous les logs de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requête JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut à l’aide de az account set -s NAME_OR_ID
.
Augmentez le niveau de verbosité de la journalisation. Utilisez --debug pour les journaux de débogage complets.