New-AzRoleAssignment
Atribui a função RBAC especificada à entidade se segurança especificada no escopo especificado.
O cmdlet pode chamar abaixo da Microsoft API do Graph de acordo com os parâmetros de entrada:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
Observe que esse cmdlet marcará ObjectType como Unknown na saída se o objeto de atribuição de função não for encontrado ou a conta atual não tiver privilégios suficientes para obter o tipo de objeto.
Syntax
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Description
Use o comando New-AzRoleAssignment para conceder acesso. O acesso é concedido atribuindo a função RBAC apropriada a eles no escopo certo. Para conceder acesso a toda a assinatura, atribua uma função no escopo da assinatura. Para conceder acesso a um grupo de recursos específico em uma assinatura, atribua uma função no escopo do grupo de recursos. O assunto da atribuição deve ser especificado. Para especificar um usuário, use os parâmetros SignInName ou Azure AD ObjectId. Para especificar um grupo de segurança, use Azure AD parâmetro ObjectId. E para especificar um aplicativo Azure AD, use os parâmetros ApplicationId ou ObjectId. A função que está sendo atribuída deve ser especificada usando o parâmetro RoleDefinitionName. O escopo no qual o acesso está sendo concedido pode ser especificado. Ele usa como padrão a assinatura selecionada. O escopo da atribuição pode ser especificado usando uma das seguintes combinações de parâmetros a. Escopo – esse é o escopo totalmente qualificado começando com /subscriptions/<subscriptionId> b. ResourceGroupName – para conceder acesso ao grupo de recursos especificado. c. ResourceName, ResourceType, ResourceGroupName e (opcionalmente) ParentResource – para especificar um recurso específico em um grupo de recursos ao qual conceder acesso.
Exemplos
Exemplo 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegationConceder acesso à função Leitor a um usuário em um escopo de grupo de recursos com a Atribuição de Função disponível para delegação
Exemplo 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1Conceder acesso a um grupo de segurança
Exemplo 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"Conceder acesso a um usuário em um recurso (site)
Exemplo 4
New-AzRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName NetworkConceder acesso a um grupo em um recurso aninhado (sub-rede)
Exemplo 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationIdConceder acesso de leitor a uma entidade de serviço
Parâmetros
-AllowDelegation
O sinalizador de delegação ao criar uma atribuição de função.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ApplicationId
A ID do aplicativo do ServicePrincipal
| Type: | String |
| Aliases: | SPN, ServicePrincipalName |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-Condition
Condição a ser aplicada ao RoleAssignment.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ConditionVersion
Versão da condição.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-DefaultProfile
As credenciais, a conta, o locatário e a assinatura usadas para comunicação com o azure
| Type: | IAzureContextContainer |
| Aliases: | AzContext, AzureRmContext, AzureCredential |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Description
Breve descrição da atribuição de função.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-InputFile
Caminho para json de atribuição de função
| Type: | String |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ObjectId
Azure AD Objectid do usuário, grupo ou entidade de serviço.
| Type: | String |
| Aliases: | Id, PrincipalId |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ObjectType
Para ser usado com ObjectId. Especifica o tipo do objeto asignee
| Type: | String |
| Aliases: | PrincipalType |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ParentResource
O recurso pai na hierarquia (do recurso especificado usando o parâmetro ResourceName). Só deve ser usado em conjunto com os parâmetros ResourceGroupName, ResourceType e ResourceName para construir um escopo hierárquico na forma de um URI relativo que identifica um recurso.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ResourceGroupName
O nome do grupo de recursos. Cria uma atribuição que é eficaz no grupo de recursos especificado. Quando usado em conjunto com parâmetros ResourceName, ResourceType e (opcionalmente)ParentResource, o comando constrói um escopo hierárquico na forma de um URI relativo que identifica um recurso.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ResourceName
O nome do recurso. Por exemplo, storageaccountprod. Só deve ser usado em conjunto com parâmetros ResourceGroupName, ResourceType e (opcionalmente)ParentResource para construir um escopo hierárquico na forma de um URI relativo que identifica um recurso.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ResourceType
O tipo de recurso. Por exemplo, Microsoft.Network/virtualNetworks. Só deve ser usado em conjunto com parâmetros ResourceGroupName, ResourceName e (opcionalmente)ParentResource para construir um escopo hierárquico na forma de um URI relativo que identifica um recurso.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-RoleDefinitionId
Id da função RBAC que precisa ser atribuída à entidade de segurança.
| Type: | Guid |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-RoleDefinitionName
Nome da função RBAC que precisa ser atribuída à entidade de segurança, ou seja, Leitor, Colaborador, Administrador Rede Virtual etc.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-Scope
O Escopo da atribuição de função. No formato de URI relativo. Por exemplo, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Se não for especificado, criará a atribuição de função no nível da assinatura. Se especificado, ele deve começar com "/subscriptions/{id}".
| Type: | String |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-SignInName
O endereço de email ou o nome principal do usuário.
| Type: | String |
| Aliases: | Email, UserPrincipalName |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
Entradas
Saídas
Observações
Palavras-chave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment
Links Relacionados
Comentários
Enviar e exibir comentários de