Condividi tramite


New-AzRoleAssignment

Assegna il ruolo specificato del controllo degli accessi in base al ruolo all'entità specificata nell'ambito specificato.

Il cmdlet può chiamare sotto l'API Microsoft Graph in base ai parametri di input:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}

Si noti che questo cmdlet contrassegnerà ObjectType come Unknown nell'output se l'oggetto dell'assegnazione di ruolo non viene trovato o l'account corrente dispone di privilegi insufficienti per ottenere il tipo di oggetto.

Sintassi

New-AzRoleAssignment
   -ObjectId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -Scope <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -InputFile <String>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Descrizione

Usare il comando New-AzRoleAssignment per concedere l'accesso. L'accesso viene concesso assegnando loro il ruolo controllo degli accessi in base al ruolo appropriato nell'ambito corretto. Per concedere l'accesso all'intera sottoscrizione, assegnare un ruolo nell'ambito della sottoscrizione. Per concedere l'accesso a un gruppo di risorse specifico all'interno di una sottoscrizione, assegnare un ruolo nell'ambito del gruppo di risorse. È necessario specificare l'oggetto dell'assegnazione. Per specificare un utente, usare i parametri SignInName o Microsoft Entra ObjectId. Per specificare un gruppo di sicurezza, usare il parametro ObjectId di Microsoft Entra. E per specificare un'applicazione Microsoft Entra, usare i parametri ApplicationId o ObjectId. Il ruolo assegnato deve essere specificato usando il parametro RoleDefinitionName. È possibile specificare l'ambito in cui viene concesso l'accesso. L'impostazione predefinita è la sottoscrizione selezionata. L'ambito dell'assegnazione può essere specificato usando una delle combinazioni di parametri seguenti. Ambito: ambito completo a partire da /subscriptions/<subscriptionId> b. ResourceGroupName: per concedere l'accesso al gruppo di risorse specificato. c. ResourceName, ResourceType, ResourceGroupName e (facoltativamente) ParentResource: per specificare una determinata risorsa all'interno di un gruppo di risorse a cui concedere l'accesso.

Esempio

Esempio 1

New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

Concedere l'accesso al ruolo lettore a un utente nell'ambito di un gruppo di risorse con l'assegnazione di ruolo disponibile per la delega

Esempio 2

Get-AzADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb

New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor  -ResourceGroupName rg1

Concedere l'accesso a un gruppo di sicurezza

Esempio 3

New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Concedere l'accesso a un utente in una risorsa (sito Web)

Esempio 4

New-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

Concedere l'accesso a un gruppo in una risorsa annidata (subnet)

Esempio 5

$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

Concedere l'accesso con autorizzazioni di lettura a un'entità servizio

Parametri

-AllowDelegation

Flag di delega durante la creazione di un'assegnazione di ruolo.

Tipo:SwitchParameter
Posizione:Named
Valore predefinito:False
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-ApplicationId

ID applicazione di ServicePrincipal

Tipo:String
Alias:SPN, ServicePrincipalName
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-Condition

Condizione da applicare all'oggetto RoleAssignment.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-ConditionVersion

Versione della condizione.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-DefaultProfile

Credenziali, account, tenant e sottoscrizione usati per la comunicazione con Azure

Tipo:IAzureContextContainer
Alias:AzContext, AzureRmContext, AzureCredential
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-Description

Breve descrizione dell'assegnazione di ruolo.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-InputFile

Percorso del file JSON per l'assegnazione di ruolo

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-ObjectId

Microsoft Entra Objectid dell'utente, del gruppo o dell'entità servizio.

Tipo:String
Alias:Id, PrincipalId
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-ObjectType

Da usare con ObjectId. Specifica il tipo dell'oggetto asignee

Tipo:String
Alias:PrincipalType
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-ParentResource

Risorsa padre nella gerarchia(della risorsa specificata usando il parametro ResourceName). Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceType e ResourceName per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-ResourceGroupName

Il nome del gruppo di risorse. Crea un'assegnazione effettiva nel gruppo di risorse specificato. Se usato insieme ai parametri ResourceName, ResourceType e (facoltativamente)ParentResource, il comando costruisce un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-ResourceName

Nome della risorsa. Ad esempio storageaccountprod. Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceType e (facoltativamente)ParentResource per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-ResourceType

Tipo di risorsa. Ad esempio Microsoft.Network/virtualNetworks. Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceName e (facoltativamente)ParentResource per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-RoleDefinitionId

ID del ruolo controllo degli accessi in base al ruolo che deve essere assegnato all'entità.

Tipo:Guid
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-RoleDefinitionName

Nome del ruolo controllo degli accessi in base al ruolo che deve essere assegnato all'entità di sicurezza, ad esempio Lettore, Collaboratore, Rete virtuale Amministratore e così via.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-Scope

Ambito dell'assegnazione di ruolo. Nel formato dell'URI relativo. Ad esempio, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Se non specificato, creerà l'assegnazione di ruolo a livello di sottoscrizione. Se specificato, deve iniziare con "/subscriptions/{id}".

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-SignInName

Indirizzo di posta elettronica o nome dell'entità utente dell'utente.

Tipo:String
Alias:Email, UserPrincipalName
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-SkipClientSideScopeValidation

Se specificato, ignorare la convalida dell'ambito lato client.

Tipo:SwitchParameter
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

Input

String

Guid

Output

PSRoleAssignment

Note

Parole chiave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment