Condividi tramite

az role assignment

Gestire le assegnazioni di ruolo.

Comandi

Nome Descrizione Tipo Status
az role assignment create

Crea una nuova assegnazione di ruolo per un utente, un gruppo o un'entità servizio.

 Core GA
az role assignment delete

Eliminare le assegnazioni di ruolo.

 Core GA
az role assignment list

Elencare le assegnazioni di ruolo.

 Core GA
az role assignment list-changelogs

Elencare i log delle modifiche per le assegnazioni di ruolo.

 Core GA
az role assignment update

Aggiornare un'assegnazione di ruolo esistente per un utente, un gruppo o un'entità servizio.

 Core GA

az role assignment create

Modifica

Crea una nuova assegnazione di ruolo per un utente, un gruppo o un'entità servizio.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Esempio

Creare un'assegnazione di ruolo per concedere all'assegnatario specificato il ruolo Lettore in una macchina virtuale di Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Creare un'assegnazione di ruolo per un assegnatario con descrizione e condizione.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Creare un'assegnazione di ruolo con il proprio nome di assegnazione.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Parametri necessari

--role

Nome o ID del ruolo.

--scope

Ambito a cui si applica l'assegnazione o la definizione di ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parametri facoltativi

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--assignee

Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome di accesso utente o nome dell'entità servizio.

--assignee-object-id

L'ID oggetto dell'assegnatario (noto anche come ID principale). Utilizzare questo argomento invece di '--assignee' per ignorare la query di Microsoft Graph nel caso in cui l'account connesso non disponga di autorizzazioni o la macchina non disponga dell'accesso alla rete per eseguire query su Microsoft Graph.

--assignee-principal-type

Usare con --assignee-object-id per evitare errori causati dalla latenza di propagazione in Microsoft Graph.

Proprietà Valore
Valori accettati: ForeignGroup, Group, ServicePrincipal, User
--condition
Anteprima

Condizione con cui l'utente può essere concessa l'autorizzazione.

--condition-version
Anteprima

Versione della sintassi della condizione. Se --condition viene specificato senza --condition-version, il valore predefinito è 2.0.

--description
Anteprima

Descrizione dell'assegnazione di ruolo.

--name -n

GUID per l'assegnazione di ruolo. Deve essere univoco e diverso per ogni assegnazione di ruolo. Se omesso, viene generato un nuovo GUID.

Parametri globali
--debug

Aumentare la verbosità dei log per visualizzare tutti i log di debug.

Proprietà Valore
Valore predefinito: False
--help -h

Mostra questo messaggio Guida, esci.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

Proprietà Valore
Valore predefinito: False
--output -o

Output format.

Proprietà Valore
Valore predefinito: json
Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc
--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

Proprietà Valore
Valore predefinito: False

az role assignment delete

Modifica

Eliminare le assegnazioni di ruolo.

Questo comando elimina tutte le assegnazioni di ruolo che soddisfano la condizione di query specificata. Prima di eseguire questo comando, è consigliabile eseguire az role assignment list prima con gli stessi argomenti per vedere quali assegnazioni di ruolo verranno eliminate.

az role assignment delete [--assignee]
                          [--assignee-object-id]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Esempio

Eliminare tutte le assegnazioni di ruolo con il ruolo "Lettore" nell'ambito della sottoscrizione.

az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Eliminare tutte le assegnazioni di ruolo di un assegnatario nell'ambito della sottoscrizione.

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Eliminare tutte le assegnazioni di ruolo di un assegnatario (con il relativo ID oggetto) nell'ambito della sottoscrizione.

az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Parametri facoltativi

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--assignee

Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome di accesso utente o nome dell'entità servizio.

--assignee-object-id

L'ID oggetto dell'assegnatario (noto anche come ID principale). Utilizzare questo argomento invece di '--assignee' per ignorare la query di Microsoft Graph nel caso in cui l'account connesso non disponga di autorizzazioni o la macchina non disponga dell'accesso alla rete per eseguire query su Microsoft Graph.

--ids

ID assegnazione di ruolo separati da spazi.

--include-inherited

Includere le assegnazioni applicate agli ambiti padre.

Proprietà Valore
Valore predefinito: False
--resource-group -g

Usarlo solo se il ruolo o l'assegnazione è stato aggiunto al livello di un gruppo di risorse.

--role

Nome o ID del ruolo.

--scope

Ambito a cui si applica l'assegnazione o la definizione di ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Currently no-op.

Parametri globali
--debug

Aumentare la verbosità dei log per visualizzare tutti i log di debug.

Proprietà Valore
Valore predefinito: False
--help -h

Mostra questo messaggio Guida, esci.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

Proprietà Valore
Valore predefinito: False
--output -o

Output format.

Proprietà Valore
Valore predefinito: json
Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc
--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

Proprietà Valore
Valore predefinito: False

az role assignment list

Modifica

Elencare le assegnazioni di ruolo.

Per impostazione predefinita, verranno visualizzate solo le assegnazioni che rientrano nell'ambito della sottoscrizione. Per visualizzare le assegnazioni che rientrano nell'ambito della risorsa o del gruppo, usare --all.

az role assignment list [--all]
                        [--assignee]
                        [--assignee-object-id]
                        [--fill-principal-name {false, true}]
                        [--fill-role-definition-name {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Esempio

Elencare le assegnazioni di ruolo nell'ambito della sottoscrizione.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000

Elencare le assegnazioni di ruolo nell'ambito della sottoscrizione, senza compilare la proprietà roleDefinitionName.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false

Elencare le assegnazioni di ruolo con il ruolo "Lettore" nell'ambito della sottoscrizione.

az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Elencare le assegnazioni di ruolo di un assegnatario nell'ambito della sottoscrizione.

az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Elencare le assegnazioni di ruolo di un assegnatario (con il relativo ID oggetto) nell'ambito della sottoscrizione, senza compilare la proprietà principalName. Questo comando non esegue query su Microsoft Graph.

az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false

Parametri facoltativi

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--all

Mostra tutte le assegnazioni nella sottoscrizione corrente.

Proprietà Valore
Valore predefinito: False
--assignee

Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome di accesso utente o nome dell'entità servizio.

--assignee-object-id

L'ID oggetto dell'assegnatario (noto anche come ID principale). Utilizzare questo argomento invece di '--assignee' per ignorare la query di Microsoft Graph nel caso in cui l'account connesso non disponga di autorizzazioni o la macchina non disponga dell'accesso alla rete per eseguire query su Microsoft Graph.

--fill-principal-name

Eseguire una query su Microsoft Graph per ottenere userPrincipalName (per l'utente), servicePrincipalNames (per l'entità servizio) o displayName (per il gruppo) dell'assegnatario, quindi compilare la proprietà principalName con esso. Se l'account connesso non dispone di autorizzazioni o il computer non ha accesso alla rete per eseguire query su Microsoft Graph, impostare questo flag su false per evitare avvisi o errori.

Proprietà Valore
Valore predefinito: True
Valori accettati: false, true
--fill-role-definition-name

Compila la proprietà roleDefinitionName oltre a roleDefinitionId. Questa operazione è costosa. Se si verificano problemi di prestazioni, impostare questo flag su false.

Proprietà Valore
Valore predefinito: True
Valori accettati: false, true
--include-groups

Includi assegnazioni extra ai gruppi di cui l'utente è membro (transitivamente).

Proprietà Valore
Valore predefinito: False
--include-inherited

Includere le assegnazioni applicate agli ambiti padre.

Proprietà Valore
Valore predefinito: False
--resource-group -g

Usarlo solo se il ruolo o l'assegnazione è stato aggiunto al livello di un gruppo di risorse.

--role

Nome o ID del ruolo.

--scope

Ambito a cui si applica l'assegnazione o la definizione di ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parametri globali
--debug

Aumentare la verbosità dei log per visualizzare tutti i log di debug.

Proprietà Valore
Valore predefinito: False
--help -h

Mostra questo messaggio Guida, esci.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

Proprietà Valore
Valore predefinito: False
--output -o

Output format.

Proprietà Valore
Valore predefinito: json
Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc
--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

Proprietà Valore
Valore predefinito: False

az role assignment list-changelogs

Modifica

Elencare i log delle modifiche per le assegnazioni di ruolo.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parametri facoltativi

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--end-time

Ora di fine della query nel formato %Y-%m-%dT%H:%M:%SZ, ad esempio 2000-12-31T12:59:59Z. Il valore predefinito è l'ora corrente.

--start-time

Ora di inizio della query nel formato %Y-%m-%dT%H:%M:%SZ, ad esempio 2000-12-31T12:59:59Z. Il valore predefinito è 1 ora prima dell'ora corrente.

Parametri globali
--debug

Aumentare la verbosità dei log per visualizzare tutti i log di debug.

Proprietà Valore
Valore predefinito: False
--help -h

Mostra questo messaggio Guida, esci.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

Proprietà Valore
Valore predefinito: False
--output -o

Output format.

Proprietà Valore
Valore predefinito: json
Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc
--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

Proprietà Valore
Valore predefinito: False

az role assignment update

Modifica

Aggiornare un'assegnazione di ruolo esistente per un utente, un gruppo o un'entità servizio.

az role assignment update --role-assignment

Esempio

Aggiornare un'assegnazione di ruolo da un file JSON.

az role assignment update --role-assignment assignment.json

Aggiornare un'assegnazione di ruolo da una stringa JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parametri necessari

--role-assignment

Descrizione di un'assegnazione di ruolo esistente come JSON o percorso di un file contenente una descrizione JSON.

Parametri globali
--debug

Aumentare la verbosità dei log per visualizzare tutti i log di debug.

Proprietà Valore
Valore predefinito: False
--help -h

Mostra questo messaggio Guida, esci.

--only-show-errors

Mostra solo gli errori, eliminando gli avvisi.

Proprietà Valore
Valore predefinito: False
--output -o

Output format.

Proprietà Valore
Valore predefinito: json
Valori accettati: json, jsonc, none, table, tsv, yaml, yamlc
--query

Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.

--subscription

Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.

--verbose

Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.

Proprietà Valore
Valore predefinito: False