New-AzRoleAssignment
Assegna il ruolo specificato del controllo degli accessi in base al ruolo all'entità specificata nell'ambito specificato.
Il cmdlet può chiamare sotto l'API Microsoft Graph in base ai parametri di input:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
Si noti che questo cmdlet contrassegnerà ObjectType
come Unknown
nell'output se l'oggetto dell'assegnazione di ruolo non viene trovato o l'account corrente dispone di privilegi insufficienti per ottenere il tipo di oggetto.
Sintassi
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Descrizione
Usare il comando New-AzRoleAssignment per concedere l'accesso. L'accesso viene concesso assegnando loro il ruolo controllo degli accessi in base al ruolo appropriato nell'ambito corretto. Per concedere l'accesso all'intera sottoscrizione, assegnare un ruolo nell'ambito della sottoscrizione. Per concedere l'accesso a un gruppo di risorse specifico all'interno di una sottoscrizione, assegnare un ruolo nell'ambito del gruppo di risorse. È necessario specificare l'oggetto dell'assegnazione. Per specificare un utente, usare i parametri SignInName o Microsoft Entra ObjectId. Per specificare un gruppo di sicurezza, usare il parametro ObjectId di Microsoft Entra. E per specificare un'applicazione Microsoft Entra, usare i parametri ApplicationId o ObjectId. Il ruolo assegnato deve essere specificato usando il parametro RoleDefinitionName. È possibile specificare l'ambito in cui viene concesso l'accesso. L'impostazione predefinita è la sottoscrizione selezionata. L'ambito dell'assegnazione può essere specificato usando una delle combinazioni di parametri seguenti. Ambito: ambito completo a partire da /subscriptions/<subscriptionId> b. ResourceGroupName: per concedere l'accesso al gruppo di risorse specificato. c. ResourceName, ResourceType, ResourceGroupName e (facoltativamente) ParentResource: per specificare una determinata risorsa all'interno di un gruppo di risorse a cui concedere l'accesso.
Esempio
Esempio 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation
Concedere l'accesso al ruolo lettore a un utente nell'ambito di un gruppo di risorse con l'assegnazione di ruolo disponibile per la delega
Esempio 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1
Concedere l'accesso a un gruppo di sicurezza
Esempio 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Concedere l'accesso a un utente in una risorsa (sito Web)
Esempio 4
New-AzRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network
Concedere l'accesso a un gruppo in una risorsa annidata (subnet)
Esempio 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId
Concedere l'accesso con autorizzazioni di lettura a un'entità servizio
Parametri
-AllowDelegation
Flag di delega durante la creazione di un'assegnazione di ruolo.
Type: | SwitchParameter |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ApplicationId
ID applicazione di ServicePrincipal
Type: | String |
Aliases: | SPN, ServicePrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Condition
Condizione da applicare all'oggetto RoleAssignment.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ConditionVersion
Versione della condizione.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-DefaultProfile
Credenziali, account, tenant e sottoscrizione usati per la comunicazione con Azure
Type: | IAzureContextContainer |
Aliases: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Description
Breve descrizione dell'assegnazione di ruolo.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-InputFile
Percorso del file JSON per l'assegnazione di ruolo
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ObjectId
Microsoft Entra Objectid dell'utente, del gruppo o dell'entità servizio.
Type: | String |
Aliases: | Id, PrincipalId |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ObjectType
Da usare con ObjectId. Specifica il tipo dell'oggetto asignee
Type: | String |
Aliases: | PrincipalType |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ParentResource
Risorsa padre nella gerarchia(della risorsa specificata usando il parametro ResourceName). Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceType e ResourceName per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceGroupName
Il nome del gruppo di risorse. Crea un'assegnazione effettiva nel gruppo di risorse specificato. Se usato insieme ai parametri ResourceName, ResourceType e (facoltativamente)ParentResource, il comando costruisce un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceName
Nome della risorsa. Ad esempio storageaccountprod. Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceType e (facoltativamente)ParentResource per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceType
Tipo di risorsa. Ad esempio Microsoft.Network/virtualNetworks. Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceName e (facoltativamente)ParentResource per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionId
ID del ruolo controllo degli accessi in base al ruolo che deve essere assegnato all'entità.
Type: | Guid |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionName
Nome del ruolo controllo degli accessi in base al ruolo che deve essere assegnato all'entità di sicurezza, ad esempio Lettore, Collaboratore, Rete virtuale Amministrazione istrator e così via.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Scope
Ambito dell'assegnazione di ruolo. Nel formato dell'URI relativo. Ad esempio, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Se non specificato, creerà l'assegnazione di ruolo a livello di sottoscrizione. Se specificato, deve iniziare con "/subscriptions/{id}".
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SignInName
Indirizzo di posta elettronica o nome dell'entità utente dell'utente.
Type: | String |
Aliases: | Email, UserPrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SkipClientSideScopeValidation
Se specificato, ignorare la convalida dell'ambito lato client.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Input
Output
Note
Parole chiave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment
Collegamenti correlati
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per