Delen via

az role assignment

Roltoewijzingen beheren.

Opdracht

Name Description Type Status
az role assignment create

Hiermee maakt u een nieuwe roltoewijzing voor een gebruiker, groep of service-principal.

 Core GA
az role assignment delete

Roltoewijzingen verwijderen.

 Core GA
az role assignment list

Roltoewijzingen weergeven.

 Core GA
az role assignment list-changelogs

Lijst met wijzigingenlogboeken voor roltoewijzingen.

 Core GA
az role assignment update

Een bestaande roltoewijzing bijwerken voor een gebruiker, groep of service-principal.

 Core GA

az role assignment create

Bewerken

Hiermee maakt u een nieuwe roltoewijzing voor een gebruiker, groep of service-principal.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Voorbeelden

Maak roltoewijzing om de opgegeven rol Lezer toe te kennen op een virtuele Azure-machine.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Maak roltoewijzing voor een toegewezen gebruiker met een beschrijving en voorwaarde.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Maak roltoewijzing met uw eigen toewijzingsnaam.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Vereiste parameters

--role

Rolnaam of id.

--scope

Bereik waarop de roltoewijzing of definitie van toepassing is, bijvoorbeeld /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroups, of /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Optionele parameters

De volgende parameters zijn optioneel, maar afhankelijk van de context kunnen een of meer parameters vereist zijn om de opdracht uit te voeren.

--assignee

Vertegenwoordig een gebruiker, groep of service-principal. ondersteunde indeling: object-id, aanmeldingsnaam van gebruiker of service-principalnaam.

--assignee-object-id

De object-id van de rechtverkrijgende (ook wel principal-id genoemd). Gebruik dit argument in plaats van '--assignee' om de Microsoft Graph-query over te slaan als het aangemelde account geen machtiging heeft of als de computer geen netwerktoegang heeft om een query uit te voeren op Microsoft Graph.

--assignee-principal-type

Gebruik met --assigne-object-id om fouten te voorkomen die worden veroorzaakt door de doorgiftelatentie in Microsoft Graph.

Eigenschap Waarde
Geaccepteerde waarden: ForeignGroup, Group, ServicePrincipal, User
--condition
Preview

Voorwaarde waaronder de gebruiker toestemming kan krijgen.

--condition-version
Preview

Versie van de voorwaardesyntaxis. Als --condition is opgegeven zonder --condition-version, is de standaardwaarde 2.0.

--description
Preview

Beschrijving van roltoewijzing.

--name -n

Een GUID voor de roltoewijzing. Deze moet uniek en verschillend zijn voor elke roltoewijzing. Als u dit weglaat, wordt er een nieuwe GUID gegenereerd.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

Eigenschap Waarde
Default value: False
--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

Eigenschap Waarde
Default value: False
--output -o

Uitvoerindeling.

Eigenschap Waarde
Default value: json
Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

Eigenschap Waarde
Default value: False

az role assignment delete

Bewerken

Roltoewijzingen verwijderen.

Met deze opdracht worden alle roltoewijzingen verwijderd die voldoen aan de opgegeven queryvoorwaarde. Voordat u deze opdracht uitvoert, wordt het ten zeerste aanbevolen om eerst az role assignment list uit te voeren met dezelfde argumenten om te zien welke roltoewijzingen worden verwijderd.

az role assignment delete [--assignee]
                          [--assignee-object-id]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Voorbeelden

Verwijder alle roltoewijzingen met de rol Lezer in het abonnementsbereik.

az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Verwijder alle roltoewijzingen van een toegewezen gebruiker in het abonnementsbereik.

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Verwijder alle roltoewijzingen van een verantwoordelijke (met de bijbehorende object-id) in het abonnementsbereik.

az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Optionele parameters

De volgende parameters zijn optioneel, maar afhankelijk van de context kunnen een of meer parameters vereist zijn om de opdracht uit te voeren.

--assignee

Vertegenwoordig een gebruiker, groep of service-principal. ondersteunde indeling: object-id, aanmeldingsnaam van gebruiker of service-principalnaam.

--assignee-object-id

De object-id van de rechtverkrijgende (ook wel principal-id genoemd). Gebruik dit argument in plaats van '--assignee' om de Microsoft Graph-query over te slaan als het aangemelde account geen machtiging heeft of als de computer geen netwerktoegang heeft om een query uit te voeren op Microsoft Graph.

--ids

Id's voor door ruimte gescheiden roltoewijzingen.

--include-inherited

Toewijzingen opnemen die zijn toegepast op bovenliggende bereiken.

Eigenschap Waarde
Default value: False
--resource-group -g

Gebruik deze alleen als de rol of toewijzing is toegevoegd op het niveau van een resourcegroep.

--role

Rolnaam of id.

--scope

Bereik waarop de roltoewijzing of definitie van toepassing is, bijvoorbeeld /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroups, of /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Momenteel no-op.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

Eigenschap Waarde
Default value: False
--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

Eigenschap Waarde
Default value: False
--output -o

Uitvoerindeling.

Eigenschap Waarde
Default value: json
Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

Eigenschap Waarde
Default value: False

az role assignment list

Bewerken

Roltoewijzingen weergeven.

Standaard worden alleen toewijzingen die zijn afgestemd op het abonnement weergegeven. Als u toewijzingen wilt weergeven die zijn gericht op resource of groep, gebruikt u --all.

az role assignment list [--all]
                        [--assignee]
                        [--assignee-object-id]
                        [--fill-principal-name {false, true}]
                        [--fill-role-definition-name {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Voorbeelden

Maak een lijst van roltoewijzingen in het abonnementsbereik.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000

Maak een lijst van roltoewijzingen in het abonnementsbereik, zonder de eigenschap roleDefinitionName in te vullen.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false

Maak een lijst van roltoewijzingen met de rol "Lezer" in het abonnementsbereik.

az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Maak een lijst van roltoewijzingen van een verantwoordelijke in het abonnementsbereik.

az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Geef roltoewijzingen van een verantwoordelijke (met de bijbehorende object-id) weer in het abonnementsbereik, zonder de eigenschap principalName in te vullen. Met deze opdracht wordt geen query uitgevoerd op Microsoft Graph.

az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false

Optionele parameters

De volgende parameters zijn optioneel, maar afhankelijk van de context kunnen een of meer parameters vereist zijn om de opdracht uit te voeren.

--all

Alle toewijzingen onder het huidige abonnement weergeven.

Eigenschap Waarde
Default value: False
--assignee

Vertegenwoordig een gebruiker, groep of service-principal. ondersteunde indeling: object-id, aanmeldingsnaam van gebruiker of service-principalnaam.

--assignee-object-id

De object-id van de rechtverkrijgende (ook wel principal-id genoemd). Gebruik dit argument in plaats van '--assignee' om de Microsoft Graph-query over te slaan als het aangemelde account geen machtiging heeft of als de computer geen netwerktoegang heeft om een query uit te voeren op Microsoft Graph.

--fill-principal-name

Voer een query uit op Microsoft Graph om de userPrincipalName (voor gebruiker), servicePrincipalNames (voor service-principal) of displayName (voor groep) van de rechthebbende op te halen en vul vervolgens de eigenschap principalName ermee in. Als het aangemelde account geen machtiging heeft of als de computer geen netwerktoegang heeft om query's uit te voeren op Microsoft Graph, stelt u deze vlag in op false om waarschuwingen of fouten te voorkomen.

Eigenschap Waarde
Default value: True
Geaccepteerde waarden: false, true
--fill-role-definition-name

Vul de eigenschap roleDefinitionName in naast roleDefinitionId. Deze operatie is duur. Als u een prestatieprobleem ondervindt, stelt u deze vlag in op onwaar.

Eigenschap Waarde
Default value: True
Geaccepteerde waarden: false, true
--include-groups

Neem extra opdrachten op aan de groepen waar de gebruiker (transitief) lid van is.

Eigenschap Waarde
Default value: False
--include-inherited

Toewijzingen opnemen die zijn toegepast op bovenliggende bereiken.

Eigenschap Waarde
Default value: False
--resource-group -g

Gebruik deze alleen als de rol of toewijzing is toegevoegd op het niveau van een resourcegroep.

--role

Rolnaam of id.

--scope

Bereik waarop de roltoewijzing of definitie van toepassing is, bijvoorbeeld /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroups, of /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

Eigenschap Waarde
Default value: False
--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

Eigenschap Waarde
Default value: False
--output -o

Uitvoerindeling.

Eigenschap Waarde
Default value: json
Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

Eigenschap Waarde
Default value: False

az role assignment list-changelogs

Bewerken

Lijst met wijzigingenlogboeken voor roltoewijzingen.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Optionele parameters

De volgende parameters zijn optioneel, maar afhankelijk van de context kunnen een of meer parameters vereist zijn om de opdracht uit te voeren.

--end-time

De eindtijd van de query in de indeling %Y-%m-%dT%H:%M:%SZ, bijvoorbeeld 2000-12-31T12:59:59Z. De standaardinstelling is de huidige tijd.

--start-time

De begintijd van de query in de indeling %Y-%m-%dT%H:%M:%SZ, bijvoorbeeld 2000-12-31T12:59:59Z. De standaardwaarde is 1 uur vóór de huidige tijd.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

Eigenschap Waarde
Default value: False
--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

Eigenschap Waarde
Default value: False
--output -o

Uitvoerindeling.

Eigenschap Waarde
Default value: json
Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

Eigenschap Waarde
Default value: False

az role assignment update

Bewerken

Een bestaande roltoewijzing bijwerken voor een gebruiker, groep of service-principal.

az role assignment update --role-assignment

Voorbeelden

Werk een roltoewijzing bij vanuit een JSON-bestand.

az role assignment update --role-assignment assignment.json

Werk een roltoewijzing bij vanuit een JSON-tekenreeks. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Vereiste parameters

--role-assignment

Beschrijving van een bestaande roltoewijzing als JSON of een pad naar een bestand met een JSON-beschrijving.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

Eigenschap Waarde
Default value: False
--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

Eigenschap Waarde
Default value: False
--output -o

Uitvoerindeling.

Eigenschap Waarde
Default value: json
Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

Eigenschap Waarde
Default value: False