New-AzRoleAssignment
Assegna il ruolo specificato del controllo degli accessi in base al ruolo all'entità specificata nell'ambito specificato.
Il cmdlet può chiamare sotto l'API Microsoft Graph in base ai parametri di input:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
Si noti che questo cmdlet contrassegnerà ObjectType come Unknown nell'output se l'oggetto dell'assegnazione di ruolo non viene trovato o l'account corrente dispone di privilegi insufficienti per ottenere il tipo di oggetto.
Sintassi
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Descrizione
Usare il comando New-AzRoleAssignment per concedere l'accesso. L'accesso viene concesso assegnando loro il ruolo controllo degli accessi in base al ruolo appropriato nell'ambito corretto. Per concedere l'accesso all'intera sottoscrizione, assegnare un ruolo nell'ambito della sottoscrizione. Per concedere l'accesso a un gruppo di risorse specifico all'interno di una sottoscrizione, assegnare un ruolo nell'ambito del gruppo di risorse. È necessario specificare l'oggetto dell'assegnazione. Per specificare un utente, usare i parametri SignInName o Microsoft Entra ObjectId. Per specificare un gruppo di sicurezza, usare il parametro ObjectId di Microsoft Entra. E per specificare un'applicazione Microsoft Entra, usare i parametri ApplicationId o ObjectId. Il ruolo assegnato deve essere specificato usando il parametro RoleDefinitionName. È possibile specificare l'ambito in cui viene concesso l'accesso. L'impostazione predefinita è la sottoscrizione selezionata. L'ambito dell'assegnazione può essere specificato usando una delle combinazioni di parametri seguenti. Ambito: ambito completo a partire da /subscriptions/<subscriptionId> b. ResourceGroupName: per concedere l'accesso al gruppo di risorse specificato. c. ResourceName, ResourceType, ResourceGroupName e (facoltativamente) ParentResource: per specificare una determinata risorsa all'interno di un gruppo di risorse a cui concedere l'accesso.
Esempio
Esempio 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegationConcedere l'accesso al ruolo lettore a un utente nell'ambito di un gruppo di risorse con l'assegnazione di ruolo disponibile per la delega
Esempio 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1Concedere l'accesso a un gruppo di sicurezza
Esempio 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"Concedere l'accesso a un utente in una risorsa (sito Web)
Esempio 4
New-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName NetworkConcedere l'accesso a un gruppo in una risorsa annidata (subnet)
Esempio 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationIdConcedere l'accesso con autorizzazioni di lettura a un'entità servizio
Parametri
-AllowDelegation
Flag di delega durante la creazione di un'assegnazione di ruolo.
| Tipo: | SwitchParameter |
| Posizione: | Named |
| Valore predefinito: | False |
| Necessario: | False |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
-ApplicationId
ID applicazione di ServicePrincipal
| Tipo: | String |
| Alias: | SPN, ServicePrincipalName |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-Condition
Condizione da applicare all'oggetto RoleAssignment.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-ConditionVersion
Versione della condizione.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-DefaultProfile
Credenziali, account, tenant e sottoscrizione usati per la comunicazione con Azure
| Tipo: | IAzureContextContainer |
| Alias: | AzContext, AzureRmContext, AzureCredential |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
-Description
Breve descrizione dell'assegnazione di ruolo.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-InputFile
Percorso del file JSON per l'assegnazione di ruolo
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-ObjectId
Microsoft Entra Objectid dell'utente, del gruppo o dell'entità servizio.
| Tipo: | String |
| Alias: | Id, PrincipalId |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-ObjectType
Da usare con ObjectId. Specifica il tipo dell'oggetto asignee
| Tipo: | String |
| Alias: | PrincipalType |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-ParentResource
Risorsa padre nella gerarchia(della risorsa specificata usando il parametro ResourceName). Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceType e ResourceName per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-ResourceGroupName
Il nome del gruppo di risorse. Crea un'assegnazione effettiva nel gruppo di risorse specificato. Se usato insieme ai parametri ResourceName, ResourceType e (facoltativamente)ParentResource, il comando costruisce un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-ResourceName
Nome della risorsa. Ad esempio storageaccountprod. Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceType e (facoltativamente)ParentResource per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-ResourceType
Tipo di risorsa. Ad esempio Microsoft.Network/virtualNetworks. Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceName e (facoltativamente)ParentResource per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-RoleDefinitionId
ID del ruolo controllo degli accessi in base al ruolo che deve essere assegnato all'entità.
| Tipo: | Guid |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-RoleDefinitionName
Nome del ruolo controllo degli accessi in base al ruolo che deve essere assegnato all'entità di sicurezza, ad esempio Lettore, Collaboratore, Rete virtuale Amministratore e così via.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-Scope
Ambito dell'assegnazione di ruolo. Nel formato dell'URI relativo. Ad esempio, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Se non specificato, creerà l'assegnazione di ruolo a livello di sottoscrizione. Se specificato, deve iniziare con "/subscriptions/{id}".
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-SignInName
Indirizzo di posta elettronica o nome dell'entità utente dell'utente.
| Tipo: | String |
| Alias: | Email, UserPrincipalName |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-SkipClientSideScopeValidation
Se specificato, ignorare la convalida dell'ambito lato client.
| Tipo: | SwitchParameter |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
Input
Output
Note
Parole chiave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment