az role assignment

Gestire le assegnazioni di ruolo.

Comandi

az role assignment create

Crea una nuova assegnazione di ruolo per un utente, un gruppo o un'entità servizio.

az role assignment delete

Eliminare le assegnazioni di ruolo.

az role assignment list

Elencare le assegnazioni di ruolo.

az role assignment list-changelogs

Elencare i log di modifica per le assegnazioni di ruolo.

az role assignment update

Aggiornare un'assegnazione di ruolo esistente per un utente, un gruppo o un'entità servizio.

az role assignment create

Crea una nuova assegnazione di ruolo per un utente, un gruppo o un'entità servizio.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]

Esempio

Creare un'assegnazione di ruolo per un assegnatare.

az role assignment create --assignee sp_name --role a_role

Creare un'assegnazione di ruolo per un assegnato con descrizione e condizione.

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Crea una nuova assegnazione di ruolo per un utente, un gruppo o un'entità servizio. (generato automaticamente)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Parametri necessari

--role

Nome del ruolo o ID.

Parametri facoltativi

--assignee

Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome dell'accesso utente o nome dell'entità servizio.

--assignee-object-id

Usare questo parametro anziché "--assignee" per ignorare API Graph chiamata in caso di privilegi insufficienti. Questo parametro funziona solo con id oggetto per utenti, gruppi, entità servizio e identità gestite. Per le identità gestite, usare l'ID principale. Per le entità servizio, usare l'ID oggetto e non l'ID app.

--assignee-principal-type

Usare con --assignee-object-id per evitare errori causati dalla latenza di propagazione in AAD Graph.

valori accettati: ForeignGroup, Group, ServicePrincipal, User
--condition

Condizione in cui l'utente può essere concessa l'autorizzazione.

--condition-version

Versione della sintassi della condizione. Se la condizione --viene specificata senza --condition-version, impostazione predefinita su 2.0.

--description

Descrizione dell'assegnazione di ruolo.

--resource-group -g

Usarlo solo se il ruolo o l'assegnazione sono stati aggiunti a livello di un gruppo di risorse.

--scope

Ambito a cui si applica l'assegnazione o la definizione del ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment delete

Eliminare le assegnazioni di ruolo.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Esempio

Eliminare le assegnazioni di ruolo. (generato automaticamente)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parametri facoltativi

--assignee

Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome dell'accesso utente o nome dell'entità servizio.

--ids

ID assegnazione di ruoli separati da spazio.

--include-inherited

Includere le assegnazioni applicate agli ambiti padre.

--resource-group -g

Usarlo solo se il ruolo o l'assegnazione sono stati aggiunti a livello di un gruppo di risorse.

--role

Nome del ruolo o ID.

--scope

Ambito a cui si applica l'assegnazione o la definizione del ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Continuare a eliminare tutte le assegnazioni nella sottoscrizione.

az role assignment list

Elencare le assegnazioni di ruolo.

Per impostazione predefinita, verranno visualizzate solo le assegnazioni che rientrano nell'ambito della sottoscrizione. Per visualizzare le assegnazioni che rientrano nell'ambito della risorsa o del gruppo, usare --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Parametri facoltativi

--all

Mostra tutte le assegnazioni nella sottoscrizione corrente.

--assignee

Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome dell'accesso utente o nome dell'entità servizio.

--include-classic-administrators

Elencare le assegnazioni di ruolo predefinite per gli amministratori classici della sottoscrizione, ovvero i coamministratori.

valori accettati: false, true
--include-groups

Includere assegnazioni aggiuntive ai gruppi di cui l'utente è membro(transitively).

--include-inherited

Includere le assegnazioni applicate agli ambiti padre.

--resource-group -g

Usarlo solo se il ruolo o l'assegnazione sono stati aggiunti a livello di un gruppo di risorse.

--role

Nome del ruolo o ID.

--scope

Ambito a cui si applica l'assegnazione o la definizione del ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment list-changelogs

Elencare i log di modifica per le assegnazioni di ruolo.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parametri facoltativi

--end-time

Ora di fine della query nel formato %Y-%m-%dT%H:%M:%SZ, ad esempio 2000-12-31T12:59:59Z. Impostazione predefinita dell'ora corrente.

--start-time

Ora di inizio della query nel formato %Y-%m-%dT%H:%M:%SZ, ad esempio 2000-12-31T12:59:59Z. Il valore predefinito è 1 Ora prima dell'ora corrente.

az role assignment update

Aggiornare un'assegnazione di ruolo esistente per un utente, un gruppo o un'entità servizio.

az role assignment update --role-assignment

Esempio

Aggiornare un'assegnazione di ruolo da un file JSON.

az role assignment update --role-assignment assignment.json

Aggiornare un'assegnazione di ruolo da una stringa JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parametri necessari

--role-assignment

Descrizione di un'assegnazione di ruolo esistente come JSON o di un percorso a un file contenente una descrizione JSON.