az role assignment

ロールの割り当てを管理します。

コマンド

az role assignment create

ユーザー、グループ、またはサービス プリンシパルに対して、新しいロール割り当てを作成します。

az role assignment delete

ロールの割り当てを削除します。

az role assignment list

ロールの割り当てを一覧表示します。

az role assignment list-changelogs

ロールの割り当ての変更ログを一覧表示します。

az role assignment update

ユーザー、グループ、またはサービス プリンシパルの既存のロールの割り当てを更新します。

az role assignment create

ユーザー、グループ、またはサービス プリンシパルに対して、新しいロール割り当てを作成します。

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]

担当者のロールの割り当てを作成します。

az role assignment create --assignee sp_name --role a_role

説明と条件を持つ担当者のロールの割り当てを作成します。

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

ユーザー、グループ、またはサービス プリンシパルに対して、新しいロール割り当てを作成します。 (自動生成)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

必須のパラメーター

--role

ロール名または ID。

省略可能のパラメーター

--assignee

ユーザー、グループ、またはサービス プリンシパルを表します。 サポートされている形式: オブジェクト ID、ユーザー サインイン名、またはサービス プリンシパル名。

--assignee-object-id

特権が不十分な場合にGraph API呼び出しをバイパスするには、'--assignee' の代わりにこのパラメーターを使用します。 このパラメーターは、ユーザー、グループ、サービス プリンシパル、およびマネージド ID のオブジェクト ID でのみ機能します。 マネージド ID の場合は、プリンシパル ID を使用します。サービス プリンシパルの場合は、アプリ ID ではなくオブジェクト ID を使用します。

--assignee-principal-type

AAD Graph の伝達待機時間によって発生するエラーを回避するには、--assignee-object-id と共に使用します。

承認された値: ForeignGroup, Group, ServicePrincipal, User
--condition

ユーザーにアクセス許可を付与できる条件。

--condition-version

条件構文のバージョン。 --condition-version を指定せずに --condition を指定した場合、既定値は 2.0 です。

--description

ロールの割り当ての説明。

--resource-group -g

ロールまたは割り当てがリソース グループのレベルで追加された場合にのみ使用します。

--scope

ロールの割り当てまたは定義が適用されるスコープ (例: /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333、/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroups/myGroups) または /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

az role assignment delete

ロールの割り当てを削除します。

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

ロールの割り当てを削除します。 (自動生成)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

省略可能のパラメーター

--assignee

ユーザー、グループ、またはサービス プリンシパルを表します。 サポートされている形式: オブジェクト ID、ユーザー サインイン名、またはサービス プリンシパル名。

--ids

スペースで区切られたロールの割り当て ID。

--include-inherited

親スコープに適用される割り当てを含めます。

--resource-group -g

ロールまたは割り当てがリソース グループのレベルで追加された場合にのみ使用します。

--role

ロール名または ID。

--scope

ロールの割り当てまたは定義が適用されるスコープ (例: /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333、/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroups/myGroups) または /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

--yes -y

引き続きサブスクリプションのすべての割り当てを削除します。

az role assignment list

ロールの割り当てを一覧表示します。

既定では、サブスクリプションをスコープとする割り当てのみが表示されます。 リソースまたはグループでスコープとされている割り当てを表示するには、--all を使用します。

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

省略可能のパラメーター

--all

現在のサブスクリプションのすべての割り当てを表示します。

--assignee

ユーザー、グループ、またはサービス プリンシパルを表します。 サポートされている形式: オブジェクト ID、ユーザー サインイン名、またはサービス プリンシパル名。

--include-classic-administrators

サブスクリプション クラシック管理者 (共同管理者) の既定のロールの割り当てを一覧表示します。

承認された値: false, true
--include-groups

ユーザーがメンバーであるグループへの追加の割り当てを含めます (推移的)。

--include-inherited

親スコープに適用される割り当てを含めます。

--resource-group -g

ロールまたは割り当てがリソース グループのレベルで追加された場合にのみ使用します。

--role

ロール名または ID。

--scope

ロールの割り当てまたは定義が適用されるスコープ (例: /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222233333、/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroups/myGroups) または /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

az role assignment list-changelogs

ロールの割り当ての変更ログを一覧表示します。

az role assignment list-changelogs [--end-time]
                                   [--start-time]

省略可能のパラメーター

--end-time

%Y-%m-%dT%H:%M:%SZ の形式のクエリの終了時刻 (例: 2000-12-31T12:59:59Z)。 既定値は現在の時刻です。

--start-time

%Y-%m-%dT%H:%M:%SZ の形式のクエリの開始時刻 (例: 2000-12-31T12:59:59Z)。 既定値は、現在時刻の 1 時間前です。

az role assignment update

ユーザー、グループ、またはサービス プリンシパルの既存のロールの割り当てを更新します。

az role assignment update --role-assignment

JSON ファイルからロールの割り当てを更新します。

az role assignment update --role-assignment assignment.json

JSON 文字列からロールの割り当てを更新します。 (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

必須のパラメーター

--role-assignment

JSON としての既存のロールの割り当ての説明、または JSON の説明を含むファイルへのパス。