New-AzKeyVaultRoleAssignment
Przypisuje określoną rolę RBAC do określonego podmiotu zabezpieczeń w określonym zakresie.
Składnia
New-AzKeyVaultRoleAssignment
[-HsmName] <String>
[-Scope <String>]
-RoleDefinitionName <String>
-SignInName <String>
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] New-AzKeyVaultRoleAssignment
[-HsmName] <String>
[-Scope <String>]
-RoleDefinitionName <String>
-ApplicationId <String>
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] New-AzKeyVaultRoleAssignment
[-HsmName] <String>
[-Scope <String>]
-RoleDefinitionName <String>
-ObjectId <String>
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] New-AzKeyVaultRoleAssignment
[-HsmName] <String>
[-Scope <String>]
-RoleDefinitionId <String>
-ApplicationId <String>
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] New-AzKeyVaultRoleAssignment
[-HsmName] <String>
[-Scope <String>]
-RoleDefinitionId <String>
-ObjectId <String>
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] New-AzKeyVaultRoleAssignment
[-HsmName] <String>
[-Scope <String>]
-RoleDefinitionId <String>
-SignInName <String>
[-DefaultProfile <IAzureContextContainer>]
[-WhatIf]
[-Confirm]
[<CommonParameters>] Opis
Użyj polecenia , New-AzKeyVaultRoleAssignment aby udzielić dostępu.
Dostęp jest udzielany przez przypisanie odpowiedniej roli RBAC do nich w odpowiednim zakresie.
Należy określić temat przypisania.
Aby określić użytkownika, użyj parametrów SignInName lub Microsoft Entra ObjectId.
Aby określić grupę zabezpieczeń, użyj parametru Microsoft Entra ObjectId.
Aby określić aplikację Microsoft Entra, użyj parametrów ApplicationId lub ObjectId.
Przypisaną rolę należy określić przy użyciu parametru RoleDefinitionName pr RoleDefinitionId. Można określić zakres, w którym jest udzielany dostęp. Domyślnie jest to wybrana subskrypcja.
Polecenie cmdlet może wywołać poniższy interfejs API programu Microsoft Graph zgodnie z parametrami wejściowymi:
- GET /directoryObjects/{id}
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /servicePrincipals
- GET /groups/{id}
Przykłady
Przykład 1
New-AzKeyVaultRoleAssignment -HsmName bez-hsm -RoleDefinitionName "Managed Hsm Crypto User" -ObjectId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxW tym przykładzie rola "Zarządzany użytkownik kryptograficzny hsm" przypisuje użytkownikowi "xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" w górnym zakresie. Jeśli użytkownik chce wykonywać operacje na kluczach. Dla tego użytkownika wymagana jest rola "Managed Hsm Crypto *".
Przykład 2
New-AzKeyVaultRoleAssignment -HsmName myHsm -RoleDefinitionName "Managed HSM Policy Administrator" -SignInName user1@microsoft.com
RoleDefinitionName DisplayName ObjectType Scope
------------------ ----------- ---------- -----
Managed HSM Policy Administrator User 1 (user1@microsoft.com) User /W tym przykładzie przypisano rolę "Administrator zasad zarządzanego modułu HSM" do użytkownika "user1@microsoft.com" w najwyższym zakresie.
Parametry
-ApplicationId
Nazwa SPN aplikacji.
| Typ: | String |
| Aliasy: | SPN, ServicePrincipalName |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-Confirm
Monituje o potwierdzenie przed uruchomieniem polecenia cmdlet.
| Typ: | SwitchParameter |
| Aliasy: | cf |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-DefaultProfile
Poświadczenia, konto, dzierżawa i subskrypcja używane do komunikacji z platformą Azure.
| Typ: | IAzureContextContainer |
| Aliasy: | AzContext, AzureRmContext, AzureCredential |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-HsmName
Nazwa modułu HSM.
| Typ: | String |
| Position: | 1 |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-ObjectId
Identyfikator obiektu użytkownika lub grupy.
| Typ: | String |
| Aliasy: | Id, PrincipalId |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-RoleDefinitionId
Identyfikator roli, do której przypisano podmiot zabezpieczeń.
| Typ: | String |
| Aliasy: | RoleId |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-RoleDefinitionName
Nazwa roli RBAC do przypisania podmiotu zabezpieczeń.
| Typ: | String |
| Aliasy: | RoleName |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-Scope
Zakres, w którym przypisanie lub definicja roli ma zastosowanie, np. "/" lub "/keys" lub "/keys/{keyName}". Element "/" jest używany w przypadku pominięcia.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-SignInName
Nazwa logowania użytkownika.
| Typ: | String |
| Aliasy: | Email, UserPrincipalName |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-WhatIf
Pokazuje, co się stanie po uruchomieniu polecenia cmdlet. Polecenie cmdlet nie zostało uruchomione.
| Typ: | SwitchParameter |
| Aliasy: | wi |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
Dane wejściowe
None