New-AzRoleAssignment
指定したプリンシパルに、指定のスコープで、指定した RBAC ロールを割り当てます。
このコマンドレットは、入力パラメーターに従って、以下の Microsoft Graph API を呼び出す場合があります。
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
このコマンドレットは、ロールの割り当てのオブジェクトが見つからない場合、または現在のアカウントにオブジェクトの種類を取得するための十分な権限がない場合、 ObjectType
を出力に Unknown
としてマークします。
構文
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
説明
New-AzRoleAssignment コマンドを使用してアクセス権を付与します。 適切な RBAC ロールを適切なスコープで割り当てることで、アクセス権が付与されます。 サブスクリプション全体へのアクセス権を付与するには、サブスクリプション スコープでロールを割り当てます。 サブスクリプション内の特定のリソース グループへのアクセスを許可するには、リソース グループ スコープでロールを割り当てます。 割り当ての件名を指定する必要があります。 ユーザーを指定するには、SignInName パラメーターまたは Microsoft Entra ObjectId パラメーターを使用します。 セキュリティ グループを指定するには、Microsoft Entra ObjectId パラメーターを使用します。 また、Microsoft Entra アプリケーションを指定するには、ApplicationId または ObjectId パラメーターを使用します。 割り当てられているロールは、RoleDefinitionName パラメーターを使用して指定する必要があります。 アクセスを許可するスコープを指定できます。 既定では、選択したサブスクリプションが使用されます。 割り当てのスコープは、次のいずれかのパラメーターの組み合わせを使用して指定できます。 スコープ - これは、/subscriptions/<subscriptionId> b で始まる完全修飾スコープです。 ResourceGroupName - 指定したリソース グループへのアクセスを許可します。 c. ResourceName、ResourceType、ResourceGroupName、および (オプションで) ParentResource - アクセス権を付与するリソース グループ内の特定のリソースを指定します。
例
例 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation
委任に使用できるロールの割り当てを使用して、リソース グループ スコープのユーザーに閲覧者ロールのアクセス権を付与する
例 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1
セキュリティ グループへのアクセスを許可する
例 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
リソース (Web サイト) でユーザーにアクセス権を付与する
例 4
New-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network
入れ子になったリソース (サブネット) のグループへのアクセスを許可する
例 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId
サービス プリンシパルへの閲覧者アクセスを許可する
パラメーター
-AllowDelegation
ロールの割り当ての作成時の委任フラグ。
型: | SwitchParameter |
配置: | Named |
規定値: | False |
必須: | False |
パイプライン入力を受け取る: | False |
ワイルドカード文字を受け取る: | False |
-ApplicationId
ServicePrincipal のアプリケーション ID
型: | String |
Aliases: | SPN, ServicePrincipalName |
配置: | Named |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-Condition
RoleAssignment に適用される条件。
型: | String |
配置: | Named |
規定値: | None |
必須: | False |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-ConditionVersion
条件のバージョン。
型: | String |
配置: | Named |
規定値: | None |
必須: | False |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-DefaultProfile
Azure との通信に使用される資格情報、アカウント、テナント、サブスクリプション
型: | IAzureContextContainer |
Aliases: | AzContext, AzureRmContext, AzureCredential |
配置: | Named |
規定値: | None |
必須: | False |
パイプライン入力を受け取る: | False |
ワイルドカード文字を受け取る: | False |
-Description
ロールの割り当ての簡単な説明。
型: | String |
配置: | Named |
規定値: | None |
必須: | False |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-InputFile
ロールの割り当て JSON へのパス
型: | String |
配置: | Named |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-ObjectId
ユーザー、グループ、またはサービス プリンシパルの Microsoft Entra Objectid。
型: | String |
Aliases: | Id, PrincipalId |
配置: | Named |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-ObjectType
ObjectId と共に使用します。 署名先オブジェクトの型を指定します。
型: | String |
Aliases: | PrincipalType |
配置: | Named |
規定値: | None |
必須: | False |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-ParentResource
階層内の親リソース (ResourceName パラメーターを使用して指定されたリソースの)。 リソースを識別する相対 URI の形式で階層スコープを構築するには、ResourceGroupName、ResourceType、ResourceName パラメーターと組み合わせてのみ使用する必要があります。
型: | String |
配置: | Named |
規定値: | None |
必須: | False |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-ResourceGroupName
リソース グループ名。 指定したリソース グループで有効な割り当てを作成します。 ResourceName、ResourceType、および (オプションで) ParentResource パラメーターと組み合わせて使用すると、リソースを識別する相対 URI の形式で階層スコープが構築されます。
型: | String |
配置: | Named |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-ResourceName
リソースの名前。 例: storageaccountprod。 ResourceGroupName、ResourceType、および (必要に応じて) ParentResource パラメーターと組み合わせて使用して、リソースを識別する相対 URI の形式で階層スコープを構築する必要があります。
型: | String |
配置: | Named |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-ResourceType
リソースの種類。 たとえば、Microsoft.Network/virtualNetworks などです。 ResourceGroupName、ResourceName、および (必要に応じて) ParentResource パラメーターと組み合わせて使用して、リソースを識別する相対 URI の形式で階層スコープを構築する必要があります。
型: | String |
配置: | Named |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-RoleDefinitionId
プリンシパルに割り当てる必要がある RBAC ロールの ID。
型: | Guid |
配置: | Named |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-RoleDefinitionName
プリンシパル (閲覧者、共同作成者、仮想ネットワーク管理者など) に割り当てる必要がある RBAC ロールの名前。
型: | String |
配置: | Named |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-Scope
ロールの割り当てのスコープ。 相対 URI の形式。 例: "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG"。 指定しない場合は、サブスクリプション レベルでロールの割り当てを作成します。 指定した場合は、"/subscriptions/{id}" で始まる必要があります。
型: | String |
配置: | Named |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-SignInName
ユーザーの電子メール アドレスまたはユーザー プリンシパル名。
型: | String |
Aliases: | Email, UserPrincipalName |
配置: | Named |
規定値: | None |
必須: | True |
パイプライン入力を受け取る: | True |
ワイルドカード文字を受け取る: | False |
-SkipClientSideScopeValidation
指定した場合は、クライアント側のスコープの検証をスキップします。
型: | SwitchParameter |
配置: | Named |
規定値: | None |
必須: | False |
パイプライン入力を受け取る: | False |
ワイルドカード文字を受け取る: | False |
入力
出力
メモ
キーワード: azure, azurerm, arm, リソース, 管理, マネージャー, リソース, グループ, テンプレート, デプロイ