az role assignment

Zarządzanie przypisaniami ról.

Polecenia

Nazwa	Opis	Typ	Stan
az role assignment create	Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi.	Podstawowe funkcje	Ogólna dostępność
az role assignment delete	Usuwanie przypisań ról.	Podstawowe funkcje	Ogólna dostępność
az role assignment list	Wyświetlanie listy przypisań ról.	Podstawowe funkcje	Ogólna dostępność
az role assignment list-changelogs	Lista dzienników zmian dla przypisań ról.	Podstawowe funkcje	Ogólna dostępność
az role assignment update	Zaktualizuj istniejące przypisanie roli dla użytkownika, grupy lub jednostki usługi.	Podstawowe funkcje	Ogólna dostępność

az role assignment create

Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Przykłady

Utwórz przypisanie roli w celu udzielenia określonej roli czytelnika na maszynie wirtualnej platformy Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Utwórz przypisanie roli dla elementu przypisanego z opisem i warunkiem.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Utwórz przypisanie roli przy użyciu własnej nazwy przypisania.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Parametry wymagane

--role

Nazwa roli lub identyfikator.

--scope

Zakres, w którym przypisanie lub definicja roli ma zastosowanie, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups/providers/Microsoft.Compute/virtualMachines/myVM.

Parametry opcjonalne

--assignee

Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.

--assignee-object-id

Użyj tego parametru zamiast "--assignee", aby pominąć wywołanie interfejsu API programu Graph w przypadku niewystarczających uprawnień. Ten parametr działa tylko z identyfikatorami obiektów dla użytkowników, grup, jednostek usługi i tożsamości zarządzanych. W przypadku tożsamości zarządzanych użyj identyfikatora podmiotu zabezpieczeń. W przypadku jednostek usługi użyj identyfikatora obiektu, a nie identyfikatora aplikacji.

--assignee-principal-type

Użyj polecenia z --assignee-object-id, aby uniknąć błędów spowodowanych opóźnieniem propagacji w programie Microsoft Graph.

Dopuszczalne wartości: ForeignGroup, Group, ServicePrincipal, User

--condition

Wersja zapoznawcza

Warunek, w którym użytkownik może mieć uprawnienia.

--condition-version

Wersja zapoznawcza

Wersja składni warunku. Jeśli parametr --condition jest określony bez --condition-version, wartość domyślna to 2.0.

--description

Wersja zapoznawcza

Opis przypisania roli.

--name -n

Identyfikator GUID przypisania roli. Musi być unikatowa i inna dla każdego przypisania roli. W przypadku pominięcia nowy identyfikator GUID jest generetd.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

Dopuszczalne wartości: json, jsonc, none, table, tsv, yaml, yamlc

Domyślna wartość: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az role assignment delete

Usuwanie przypisań ról.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Przykłady

Usuwanie przypisań ról. (automatycznie wygenerowane)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parametry opcjonalne

--assignee

Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.

--ids

Identyfikatory przypisania roli rozdzielone spacjami.

--include-inherited

Uwzględnij przypisania zastosowane w zakresach nadrzędnych.

Domyślna wartość: False

--resource-group -g

Użyj go tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.

--role

Nazwa roli lub identyfikator.

--scope

Zakres, w którym przypisanie lub definicja roli ma zastosowanie, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Kontynuuj usuwanie wszystkich przypisań w ramach subskrypcji.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

Dopuszczalne wartości: json, jsonc, none, table, tsv, yaml, yamlc

Domyślna wartość: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az role assignment list

Wyświetlanie listy przypisań ról.

Domyślnie będą wyświetlane tylko przypisania ograniczone do subskrypcji. Aby wyświetlić przypisania ograniczone przez zasób lub grupę, użyj polecenia --all.

[OSTRZEŻENIE] Administratorzy klasycznej subskrypcji platformy Azure zostaną wycofani 31 sierpnia 2024 r. Po 31 sierpnia 2024 r. wszyscy administratorzy klasyczni mogą utracić dostęp do subskrypcji. Usuń administratorów klasycznych, którzy nie potrzebują już dostępu lub przypisz rolę RBAC platformy Azure, aby uzyskać szczegółową kontrolę dostępu. Dowiedz się więcej: https://go.microsoft.com/fwlink/?linkid=2238474.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Parametry opcjonalne

--all

Pokaż wszystkie przypisania w ramach bieżącej subskrypcji.

Domyślna wartość: False

--assignee

Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.

--include-classic-administrators

Przestarzałe

Opcja "--include-classic-administrators" została wycofana i zostanie usunięta w przyszłej wersji.

Wyświetl listę domyślnych przypisań ról dla administratorów klasycznych subskrypcji, czyli współadministratorów.

Dopuszczalne wartości: false, true

Domyślna wartość: False

--include-groups

Dołącz dodatkowe przypisania do grup, których użytkownik jest członkiem (przechodnio).

Domyślna wartość: False

--include-inherited

Uwzględnij przypisania zastosowane w zakresach nadrzędnych.

Domyślna wartość: False

--resource-group -g

Użyj go tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.

--role

Nazwa roli lub identyfikator.

--scope

Zakres, w którym przypisanie lub definicja roli ma zastosowanie, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups/providers/Microsoft.Compute/virtualMachines/myVM.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

Dopuszczalne wartości: json, jsonc, none, table, tsv, yaml, yamlc

Domyślna wartość: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az role assignment list-changelogs

Lista dzienników zmian dla przypisań ról.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parametry opcjonalne

--end-time

Godzina zakończenia zapytania w formacie %Y-%m-%dT%H:%M:%SZ, np. 2000-12-31T12:59:59:59Z. Domyślnie jest to bieżąca godzina.

--start-time

Godzina rozpoczęcia kwerendy w formacie %Y-%m-%dT%H:%M:%SZ, np. 2000-12-31T12:59:59:59Z. Wartość domyślna to 1 godzina przed bieżącą godziną.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

Dopuszczalne wartości: json, jsonc, none, table, tsv, yaml, yamlc

Domyślna wartość: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az role assignment update

Zaktualizuj istniejące przypisanie roli dla użytkownika, grupy lub jednostki usługi.

az role assignment update --role-assignment

Przykłady

Aktualizowanie przypisania roli z pliku JSON.

az role assignment update --role-assignment assignment.json

Aktualizowanie przypisania roli z ciągu JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parametry wymagane

--role-assignment

Opis istniejącego przypisania roli jako JSON lub ścieżki do pliku zawierającego opis JSON.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

Dopuszczalne wartości: json, jsonc, none, table, tsv, yaml, yamlc

Domyślna wartość: json

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.