az role assignment

Gestire le assegnazioni di ruolo.

Comandi

Nome	Descrizione	Tipo	Status
az role assignment create	Crea una nuova assegnazione di ruolo per un utente, un gruppo o un'entità servizio.	Core	Disponibilità generale
az role assignment delete	Eliminare le assegnazioni di ruolo.	Core	Disponibilità generale
az role assignment list	Elencare le assegnazioni di ruolo.	Core	Disponibilità generale
az role assignment list-changelogs	Elencare i log delle modifiche per le assegnazioni di ruolo.	Core	Disponibilità generale
az role assignment update	Aggiornare un'assegnazione di ruolo esistente per un utente, un gruppo o un'entità servizio.	Core	Disponibilità generale

az role assignment create

Crea una nuova assegnazione di ruolo per un utente, un gruppo o un'entità servizio.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Esempio

Creare un'assegnazione di ruolo per concedere all'assegnatario specificato il ruolo Lettore in una macchina virtuale di Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Creare un'assegnazione di ruolo per un assegnatario con descrizione e condizione.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Creare un'assegnazione di ruolo con il proprio nome di assegnazione.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Parametri necessari

--role

Nome o ID del ruolo.

--scope

Ambito a cui si applica l'assegnazione o la definizione di ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parametri facoltativi

--assignee

Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome di accesso utente o nome dell'entità servizio.

--assignee-object-id

Usare questo parametro anziché '--assignee' per ignorare la chiamata all'API Graph in caso di privilegi insufficienti. Questo parametro funziona solo con gli ID oggetto per utenti, gruppi, entità servizio e identità gestite. Per le identità gestite usare l'ID entità. Per le entità servizio, usare l'ID oggetto e non l'ID app.

--assignee-principal-type

Usare con --assignee-object-id per evitare errori causati dalla latenza di propagazione in Microsoft Graph.

Valori accettati: ForeignGroup, Group, ServicePrincipal, User

--condition

Anteprima

Condizione con cui l'utente può essere concessa l'autorizzazione.

--condition-version

Anteprima

Versione della sintassi della condizione. Se --condition viene specificato senza --condition-version, il valore predefinito è 2.0.

--description

Anteprima

Descrizione dell'assegnazione di ruolo.

--name -n

GUID per l'assegnazione di ruolo. Deve essere univoco e diverso per ogni assegnazione di ruolo. Se omesso, viene generetd un nuovo GUID.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az role assignment delete

Eliminare le assegnazioni di ruolo.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Esempio

Eliminare le assegnazioni di ruolo. (generato automaticamente)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parametri facoltativi

--assignee

Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome di accesso utente o nome dell'entità servizio.

--ids

ID assegnazione di ruolo separati da spazi.

--include-inherited

Includere le assegnazioni applicate agli ambiti padre.

Valore predefinito: False

--resource-group -g

Usarlo solo se il ruolo o l'assegnazione è stato aggiunto al livello di un gruppo di risorse.

--role

Nome o ID del ruolo.

--scope

Ambito a cui si applica l'assegnazione o la definizione di ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Continuare a eliminare tutte le assegnazioni nella sottoscrizione.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az role assignment list

Elencare le assegnazioni di ruolo.

Per impostazione predefinita, verranno visualizzate solo le assegnazioni che rientrano nell'ambito della sottoscrizione. Per visualizzare le assegnazioni che rientrano nell'ambito della risorsa o del gruppo, usare --all.

[AVVISO] Gli amministratori delle sottoscrizioni classiche di Azure verranno ritirati il 31 agosto 2024. Dopo il 31 agosto 2024, tutti gli amministratori classici rischiano di perdere l'accesso alla sottoscrizione. Eliminare gli amministratori classici che non hanno più bisogno di accesso o assegnare un ruolo controllo degli accessi in base al ruolo di Azure per il controllo degli accessi con granularità fine. Altre informazioni: https://go.microsoft.com/fwlink/?linkid=2238474

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Parametri facoltativi

--all

Mostra tutte le assegnazioni nella sottoscrizione corrente.

Valore predefinito: False

--assignee

Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome di accesso utente o nome dell'entità servizio.

--include-classic-administrators

Deprecato

L'opzione '--include-classic-administrators' è stata deprecata e verrà rimossa in una versione futura.

Elencare le assegnazioni di ruolo predefinite per gli amministratori classici della sottoscrizione, noti anche come coamministratori.

Valori accettati: false, true

Valore predefinito: False

--include-groups

Includere assegnazioni aggiuntive ai gruppi di cui l'utente è membro (transitivamente).

Valore predefinito: False

--include-inherited

Includere le assegnazioni applicate agli ambiti padre.

Valore predefinito: False

--resource-group -g

Usarlo solo se il ruolo o l'assegnazione è stato aggiunto al livello di un gruppo di risorse.

--role

Nome o ID del ruolo.

--scope

Ambito a cui si applica l'assegnazione o la definizione di ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az role assignment list-changelogs

Elencare i log delle modifiche per le assegnazioni di ruolo.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parametri facoltativi

--end-time

Ora di fine della query nel formato %Y-%m-%dT%H:%M:%SZ, ad esempio 2000-12-31T12:59:59Z. Il valore predefinito è l'ora corrente.

--start-time

Ora di inizio della query nel formato %Y-%m-%dT%H:%M:%SZ, ad esempio 2000-12-31T12:59:59Z. Il valore predefinito è 1 ora prima dell'ora corrente.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

az role assignment update

Aggiornare un'assegnazione di ruolo esistente per un utente, un gruppo o un'entità servizio.

az role assignment update --role-assignment

Esempio

Aggiornare un'assegnazione di ruolo da un file JSON.

az role assignment update --role-assignment assignment.json

Aggiornare un'assegnazione di ruolo da una stringa JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parametri necessari

--role-assignment

Descrizione di un'assegnazione di ruolo esistente come JSON o percorso di un file contenente una descrizione JSON.

Parametri globali

--debug

Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.

--help -h

Visualizza questo messaggio della guida ed esce.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

--output -o

Formato di output.

Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc

Valore predefinito: json

--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.