New-AzRoleAssignment
Affecte le rôle RBAC spécifié au principal spécifiée, dans l’étendue spécifiée.
L’applet de commande peut appeler sous l’API Microsoft Graph en fonction des paramètres d’entrée :
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
Notez que cette applet de commande marque comme ObjectTypeUnknown dans la sortie si l’objet de l’attribution de rôle est introuvable ou que le compte actuel dispose de privilèges insuffisants pour obtenir le type d’objet.
Syntax
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Description
Utilisez la commande New-AzRoleAssignment pour accorder l’accès. L’accès est accordé en affectant le rôle RBAC approprié à ceux-ci au niveau de la bonne étendue. Pour accorder l’accès à l’ensemble de l’abonnement, attribuez un rôle à l’étendue de l’abonnement. Pour accorder l’accès à un groupe de ressources spécifique au sein d’un abonnement, attribuez un rôle à l’étendue du groupe de ressources. L’objet de l’affectation doit être spécifié. Pour spécifier un utilisateur, utilisez les paramètres SignInName ou Microsoft Entra ObjectId. Pour spécifier un groupe de sécurité, utilisez le paramètre Microsoft Entra ObjectId. Pour spécifier une application Microsoft Entra, utilisez les paramètres ApplicationId ou ObjectId. Le rôle affecté doit être spécifié à l’aide du paramètre RoleDefinitionName. L’étendue à laquelle l’accès est accordé peut être spécifié. Il est défini par défaut sur l’abonnement sélectionné. L’étendue de l’affectation peut être spécifiée à l’aide de l’une des combinaisons de paramètres suivantes. Étendue : il s’agit de l’étendue complète commençant par /subscriptions/<subscriptionId> b. ResourceGroupName : pour accorder l’accès au groupe de ressources spécifié. c. ResourceName, ResourceType, ResourceGroupName et (éventuellement) ParentResource pour spécifier une ressource particulière au sein d’un groupe de ressources pour accorder l’accès.
Exemples
Exemple 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegationAccorder l’accès au rôle Lecteur à un utilisateur dans une étendue de groupe de ressources avec l’attribution de rôle disponible pour la délégation
Exemple 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1Accorder l’accès à un groupe de sécurité
Exemple 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"Accorder l’accès à un utilisateur à une ressource (site web)
Exemple 4
New-AzRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName NetworkAccorder l’accès à un groupe à une ressource imbriquée (sous-réseau)
Exemple 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationIdAccorder à un lecteur l’accès à un principal de service
Paramètres
-AllowDelegation
Indicateur de délégation lors de la création d’une attribution de rôle.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ApplicationId
ID d’application du ServicePrincipal
| Type: | String |
| Aliases: | SPN, ServicePrincipalName |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-Condition
Condition à appliquer à RoleAssignment.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ConditionVersion
Version de la condition.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-DefaultProfile
Informations d’identification, compte, locataire et abonnement utilisés pour la communication avec Azure
| Type: | IAzureContextContainer |
| Aliases: | AzContext, AzureRmContext, AzureCredential |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Description
Brève description de l’attribution de rôle.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-InputFile
Chemin d’accès à l’attribution de rôle json
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ObjectId
Microsoft Entra Objectid de l’utilisateur, du groupe ou du principal du service.
| Type: | String |
| Aliases: | Id, PrincipalId |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ObjectType
À utiliser avec ObjectId. Spécifie le type de l’objet asignee
| Type: | String |
| Aliases: | PrincipalType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ParentResource
Ressource parente dans la hiérarchie(de la ressource spécifiée à l’aide du paramètre ResourceName). Doit être utilisé uniquement conjointement avec les paramètres ResourceGroupName, ResourceType et ResourceName pour construire une étendue hiérarchique sous la forme d’un URI relatif qui identifie une ressource.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ResourceGroupName
Nom du groupe de ressources. Crée une affectation effective au niveau du groupe de ressources spécifié. Lorsqu’elle est utilisée conjointement avec les paramètres ResourceName, ResourceType et (éventuellement)ParentResource, la commande construit une étendue hiérarchique sous la forme d’un URI relatif qui identifie une ressource.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ResourceName
Nom de la ressource. Par exemple, storageaccountprod. Doit être utilisé uniquement conjointement avec les paramètres ResourceGroupName, ResourceType et (éventuellement)ParentResource pour construire une étendue hiérarchique sous la forme d’un URI relatif qui identifie une ressource.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ResourceType
Type de ressource. Par exemple, Microsoft.Network/virtualNetworks. Doit être utilisé uniquement conjointement avec les paramètres ResourceGroupName, ResourceName et (éventuellement) ParentResource pour construire une étendue hiérarchique sous la forme d’un URI relatif qui identifie une ressource.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-RoleDefinitionId
ID du rôle RBAC qui doit être affecté au principal.
| Type: | Guid |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-RoleDefinitionName
Nom du rôle RBAC qui doit être attribué au principal, c’est-à-dire Lecteur, Contributeur, Réseau virtuel Administration istrateur, etc.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-Scope
Étendue de l’attribution de rôle. Au format de l’URI relatif. Par exemple, « /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG ». S’il n’est pas spécifié, crée l’attribution de rôle au niveau de l’abonnement. S’il est spécifié, il doit commencer par « /subscriptions/{id} ».
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-SignInName
Adresse e-mail ou nom d’utilisateur principal de l’utilisateur.
| Type: | String |
| Aliases: | Email, UserPrincipalName |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-SkipClientSideScopeValidation
Si elle est spécifiée, ignorez la validation de l’étendue côté client.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Entrées
Sorties
Notes
Mots clés : azure, azurerm, arm, resource, management, manager, resource, group, template, deployment
Liens associés
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour