New-AzRoleAssignment
지정된 범위에서 지정된 보안 주체에 지정된 RBAC 역할을 할당합니다.
cmdlet은 입력 매개 변수에 따라 Microsoft Graph API 아래에서 호출할 수 있습니다.
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
역할 할당 개체를 찾을 수 없거나 현재 계정에 개체 유형을 가져올 수 있는 권한이 부족한 경우 이 cmdlet이 출력으로 Unknown
표시됩니다ObjectType
.
구문
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Description
New-AzRoleAssignment 명령을 사용하여 액세스 권한을 부여합니다. 적절한 범위에서 적절한 RBAC 역할을 할당하여 액세스 권한을 부여합니다. 전체 구독에 대한 액세스 권한을 부여하려면 구독 범위에서 역할을 할당합니다. 구독 내의 특정 리소스 그룹에 대한 액세스 권한을 부여하려면 리소스 그룹 범위에서 역할을 할당합니다. 과제의 주체를 지정해야 합니다. 사용자를 지정하려면 SignInName 또는 Microsoft Entra ObjectId 매개 변수를 사용합니다. 보안 그룹을 지정하려면 Microsoft Entra ObjectId 매개 변수를 사용합니다. Microsoft Entra 애플리케이션을 지정하려면 ApplicationId 또는 ObjectId 매개 변수를 사용합니다. 할당되는 역할은 RoleDefinitionName 매개 변수를 사용하여 지정해야 합니다. 액세스 권한이 부여되는 범위를 지정할 수 있습니다. 기본값은 선택한 구독으로 설정됩니다. 할당 범위는 다음 매개 변수 조합 중 하나를 사용하여 지정할 수 있습니다. 범위 - /subscriptions/<subscriptionId> b로 시작하는 정규화된 범위입니다. ResourceGroupName - 지정된 리소스 그룹에 대한 액세스 권한을 부여합니다. c. ResourceName, ResourceType, ResourceGroupName 및 (선택 사항) ParentResource - 액세스 권한을 부여할 리소스 그룹 내의 특정 리소스를 지정합니다.
예제
예 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation
역할 할당을 위임에 사용할 수 있는 리소스 그룹 범위의 사용자에게 읽기 권한자 역할 액세스 권한 부여
예제 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1
보안 그룹에 대한 액세스 권한 부여
예 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
리소스에서 사용자에게 액세스 권한 부여(웹 사이트)
예제 4
New-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network
중첩된 리소스(서브넷)에서 그룹에 대한 액세스 권한 부여
예시 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId
서비스 주체에 대한 읽기 권한자 액세스 권한 부여
매개 변수
-AllowDelegation
역할 할당을 만드는 동안 위임 플래그입니다.
형식: | SwitchParameter |
Position: | Named |
Default value: | False |
필수: | False |
파이프라인 입력 허용: | False |
와일드카드 문자 허용: | False |
-ApplicationId
ServicePrincipal의 애플리케이션 ID
형식: | String |
별칭: | SPN, ServicePrincipalName |
Position: | Named |
Default value: | None |
필수: | True |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-Condition
RoleAssignment에 적용할 조건입니다.
형식: | String |
Position: | Named |
Default value: | None |
필수: | False |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-ConditionVersion
조건의 버전입니다.
형식: | String |
Position: | Named |
Default value: | None |
필수: | False |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-DefaultProfile
Azure와의 통신에 사용되는 자격 증명, 계정, 테넌트 및 구독
형식: | IAzureContextContainer |
별칭: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Default value: | None |
필수: | False |
파이프라인 입력 허용: | False |
와일드카드 문자 허용: | False |
-Description
역할 할당에 대한 간략한 설명입니다.
형식: | String |
Position: | Named |
Default value: | None |
필수: | False |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-InputFile
역할 할당 json에 대한 경로
형식: | String |
Position: | Named |
Default value: | None |
필수: | True |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-ObjectId
사용자, 그룹 또는 서비스 주체의 Microsoft Entra Objectid입니다.
형식: | String |
별칭: | Id, PrincipalId |
Position: | Named |
Default value: | None |
필수: | True |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-ObjectType
ObjectId와 함께 사용할 수 있습니다. asignee 개체의 형식을 지정합니다.
형식: | String |
별칭: | PrincipalType |
Position: | Named |
Default value: | None |
필수: | False |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-ParentResource
ResourceName 매개 변수를 사용하여 지정된 리소스의 계층 구조에 있는 부모 리소스입니다. 리소스를 식별하는 상대 URI의 형태로 계층적 범위를 생성하려면 ResourceGroupName, ResourceType 및 ResourceName 매개 변수와 함께만 사용해야 합니다.
형식: | String |
Position: | Named |
Default value: | None |
필수: | False |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-ResourceGroupName
리소스 그룹 이름입니다. 지정된 리소스 그룹에 적용되는 할당을 만듭니다. ResourceName, ResourceType 및 (선택 사항)ParentResource 매개 변수와 함께 사용하는 경우 명령은 리소스를 식별하는 상대 URI 형식으로 계층적 범위를 생성합니다.
형식: | String |
Position: | Named |
Default value: | None |
필수: | True |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-ResourceName
리소스 이름. 예를 들어 storageaccountprod입니다. ResourceGroupName, ResourceType 및 (선택적으로) ParentResource 매개 변수와 함께 리소스를 식별하는 상대 URI 형식으로 계층적 범위를 생성하는 데만 사용해야 합니다.
형식: | String |
Position: | Named |
Default value: | None |
필수: | True |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-ResourceType
리소스 유형. 예를 들어 Microsoft.Network/virtualNetworks입니다. ResourceGroupName, ResourceName 및 (선택적으로) ParentResource 매개 변수와 함께만 사용하여 리소스를 식별하는 상대 URI 형식으로 계층적 범위를 생성해야 합니다.
형식: | String |
Position: | Named |
Default value: | None |
필수: | True |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-RoleDefinitionId
보안 주체에 할당해야 하는 RBAC 역할의 ID입니다.
형식: | Guid |
Position: | Named |
Default value: | None |
필수: | True |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-RoleDefinitionName
보안 주체에 할당해야 하는 RBAC 역할의 이름(예: 읽기 권한자, 기여자, Virtual Network 관리자 등)입니다.
형식: | String |
Position: | Named |
Default value: | None |
필수: | True |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-Scope
역할 할당의 범위입니다. 상대 URI 형식입니다. 예: "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". 지정하지 않으면 구독 수준에서 역할 할당을 만듭니다. 지정한 경우 "/subscriptions/{id}"로 시작해야 합니다.
형식: | String |
Position: | Named |
Default value: | None |
필수: | True |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-SignInName
사용자의 전자 메일 주소 또는 사용자 계정 이름입니다.
형식: | String |
별칭: | Email, UserPrincipalName |
Position: | Named |
Default value: | None |
필수: | True |
파이프라인 입력 허용: | True |
와일드카드 문자 허용: | False |
-SkipClientSideScopeValidation
지정된 경우 클라이언트 쪽 범위 유효성 검사를 건너뜁니다.
형식: | SwitchParameter |
Position: | Named |
Default value: | None |
필수: | False |
파이프라인 입력 허용: | False |
와일드카드 문자 허용: | False |
입력
출력
참고
키워드: azure, azurerm, arm, 리소스, 관리, 관리자, 리소스, 그룹, 템플릿, 배포