az role assignment

Управление назначениями ролей.

Команды

Имя	Описание	Тип	Состояние
az role assignment create	Создайте новое назначение роли для пользователя, группы или субъекта-службы.	Основные сведения	Общедоступная версия
az role assignment delete	Удаление назначений ролей.	Основные сведения	Общедоступная версия
az role assignment list	Вывод списка назначений ролей.	Основные сведения	Общедоступная версия
az role assignment list-changelogs	Список журналов изменений для назначений ролей.	Основные сведения	Общедоступная версия
az role assignment update	Обновите существующее назначение ролей для пользователя, группы или субъекта-службы.	Основные сведения	Общедоступная версия

az role assignment create

Создайте новое назначение роли для пользователя, группы или субъекта-службы.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Примеры

Создайте назначение ролей для предоставления указанной роли читателя на виртуальной машине Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Создайте назначение ролей для назначаемого с описанием и условием.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Создайте назначение ролей с собственным именем назначения.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Обязательные параметры

--role

Имя роли или идентификатор.

--scope

Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Необязательные параметры

--assignee

Представляет пользователя, группу или субъект-службу. поддерживаемый формат: идентификатор объекта, имя входа пользователя или имя субъекта-службы.

--assignee-object-id

Используйте этот параметр вместо "--assignee" для обхода вызова API Graph в случае нехватки привилегий. Этот параметр работает только с идентификаторами объектов для пользователей, групп, субъектов-служб и управляемых удостоверений. Для управляемых удостоверений используется идентификатор субъекта. Для субъектов-служб используйте идентификатор объекта, а не идентификатор приложения.

--assignee-principal-type

Используйте с идентификатором --assignee-object-id, чтобы избежать ошибок, вызванных задержкой распространения в Microsoft Graph.

Допустимые значения: ForeignGroup, Group, ServicePrincipal, User

--condition

Предварительный просмотр

Условие, при котором пользователю может быть предоставлено разрешение.

--condition-version

Предварительный просмотр

Версия синтаксиса условия. Если условие указано без --condition-version, по умолчанию — 2.0.

--description

Предварительный просмотр

Описание назначения ролей.

--name -n

GUID для назначения роли. Он должен быть уникальным и разными для каждого назначения роли. Если опущено, новый GUID будет генеретирован.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

Default value: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az role assignment delete

Удаление назначений ролей.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Примеры

Удаление назначений ролей. (автоматическое создание)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Необязательные параметры

--assignee

Представляет пользователя, группу или субъект-службу. поддерживаемый формат: идентификатор объекта, имя входа пользователя или имя субъекта-службы.

--ids

Идентификаторы назначения ролей, разделенные пробелами.

--include-inherited

Включите назначения, применяемые к родительским областям.

Default value: False

--resource-group -g

Используйте его только в том случае, если роль или назначение было добавлено на уровне группы ресурсов.

--role

Имя роли или идентификатор.

--scope

Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Продолжайте удалять все назначения в подписке.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

Default value: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az role assignment list

Вывод списка назначений ролей.

По умолчанию отображаются только назначения в пределах подписки. Чтобы просмотреть назначения в пределах ресурсов или группы, используйте --all.

[ПРЕДУПРЕЖДЕНИЕ] Администраторы классической подписки Azure отставят 31 августа 2024 года. После 31 августа 2024 г. все классические администраторы рискуют потерять доступ к подписке. Удаление классических администраторов, которым больше не нужен доступ или назначение роли Azure RBAC для точного управления доступом. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2238474.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Необязательные параметры

--all

Отображение всех назначений в текущей подписке.

Default value: False

--assignee

Представляет пользователя, группу или субъект-службу. поддерживаемый формат: идентификатор объекта, имя входа пользователя или имя субъекта-службы.

--include-classic-administrators

Не рекомендуется

Параметр "--include-classic-administrators" устарел и будет удален в будущем выпуске.

Вывод списка назначений ролей по умолчанию для классических администраторов подписки, ака соадминистраторов.

Допустимые значения: false, true

Default value: False

--include-groups

Включите дополнительные назначения в группы, из которых пользователь является членом (транзитивно).

Default value: False

--include-inherited

Включите назначения, применяемые к родительским областям.

Default value: False

--resource-group -g

Используйте его только в том случае, если роль или назначение было добавлено на уровне группы ресурсов.

--role

Имя роли или идентификатор.

--scope

Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

Default value: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az role assignment list-changelogs

Список журналов изменений для назначений ролей.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Необязательные параметры

--end-time

Время окончания запроса в формате %Y-%m-%dT%H:%M:%SZ, например 2000-12-31T12:59:59Z. По умолчанию используется текущее время.

--start-time

Время начала запроса в формате %Y-%m-%dT%H:%M:%SZ, например 2000-12-31T12:59:59Z. Значение по умолчанию — 1 час до текущего времени.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

Default value: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az role assignment update

Обновите существующее назначение ролей для пользователя, группы или субъекта-службы.

az role assignment update --role-assignment

Примеры

Обновите назначение ролей из JSON-файла.

az role assignment update --role-assignment assignment.json

Обновите назначение ролей из строки JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Обязательные параметры

--role-assignment

Описание существующего назначения роли в формате JSON или путь к файлу, содержащему описание JSON.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

Default value: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.