New-AzRoleAssignment
Присваивает указанную роль RBAC заданному субъекту в определенной области.
Командлет может вызвать ниже API Microsoft Graph в соответствии с входным параметрами:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
Обратите внимание, что этот командлет помечается ObjectType как Unknown в выходных данных, если объект назначения роли не найден или текущая учетная запись имеет недостаточные привилегии для получения типа объекта.
Синтаксис
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Описание
Используйте команду New-AzRoleAssignment для предоставления доступа. Доступ предоставляется путем назначения соответствующей роли RBAC им в правой области. Чтобы предоставить доступ ко всей подписке, назначьте роль в области подписки. Чтобы предоставить доступ к определенной группе ресурсов в подписке, назначьте роль в области группы ресурсов. Необходимо указать тему назначения. Чтобы указать пользователя, используйте параметры SignInName или Microsoft Entra ObjectId. Чтобы указать группу безопасности, используйте параметр Microsoft Entra ObjectId. Чтобы указать приложение Microsoft Entra, используйте параметры ApplicationId или ObjectId. Роль, которую назначается, необходимо указать с помощью параметра RoleDefinitionName. Область предоставления доступа может быть указана. По умолчанию используется выбранная подписка. Область назначения можно указать с помощью одного из следующих сочетаний параметров a. Область — это полная область, начиная с /subscriptions/<subscriptionId> b. ResourceGroupName — для предоставления доступа к указанной группе ресурсов. c. ResourceName, ResourceType, ResourceGroupName и (необязательно) ParentResource — чтобы указать определенный ресурс в группе ресурсов для предоставления доступа.
Примеры
Пример 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegationПредоставление пользователю доступа к роли читателя в области группы ресурсов с доступным для делегирования назначением ролей
Пример 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1Предоставление доступа к группе безопасности
Пример 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"Предоставление доступа пользователю на ресурсе (веб-сайте)
Пример 4
New-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName NetworkПредоставление доступа к группе вложенном ресурсе (подсети)
Пример 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationIdПредоставление читателю доступа к субъекту-службе
Параметры
-AllowDelegation
Флаг делегирования при создании назначения роли.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-ApplicationId
Идентификатор приложения ServicePrincipal
| Тип: | String |
| Aliases: | SPN, ServicePrincipalName |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-Condition
Условие, применяемое к RoleAssignment.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-ConditionVersion
Версия условия.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-DefaultProfile
Учетные данные, учетная запись, клиент и подписка, используемые для обмена данными с Azure
| Тип: | IAzureContextContainer |
| Aliases: | AzContext, AzureRmContext, AzureCredential |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-Description
Краткое описание назначения роли.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-InputFile
Путь к json назначения ролей
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-ObjectId
Microsoft Entra Objectid пользователя, группы или субъекта-службы.
| Тип: | String |
| Aliases: | Id, PrincipalId |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-ObjectType
Для использования с ObjectId. Указывает тип объекта asignee
| Тип: | String |
| Aliases: | PrincipalType |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-ParentResource
Родительский ресурс в иерархии (ресурса, указанного с помощью параметра ResourceName). Следует использовать только в сочетании с параметрами ResourceGroupName, ResourceType и ResourceName для создания иерархической области в виде относительного URI, определяющего ресурс.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-ResourceGroupName
Имя группы ресурсов. Создает назначение, действующее в указанной группе ресурсов. При использовании в сочетании с ResourceName, ResourceType и (необязательно)ParentResource parameters команда создает иерархическую область в виде относительного URI, определяющего ресурс.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-ResourceName
Имя ресурса. Например, storageaccountprod. Следует использовать только в сочетании с ResourceGroupName, ResourceType и (необязательно)ParentResource для создания иерархической области в виде относительного URI, определяющего ресурс.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-ResourceType
Типа ресурса. Например, Microsoft.Network/virtualNetworks. Следует использовать только в сочетании с Параметрами ResourceGroupName, ResourceName и (необязательно)ParentResource для создания иерархической области в виде относительного URI, определяющего ресурс.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-RoleDefinitionId
Идентификатор роли RBAC, которую необходимо назначить субъекту.
| Тип: | Guid |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-RoleDefinitionName
Имя роли RBAC, которую необходимо назначить субъекту, т. е. читателю, участнику, виртуальная сеть администратору и т. д.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-Scope
Область назначения роли. В формате относительного URI. Например, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Если этот параметр не указан, создадит назначение роли на уровне подписки. Если задано, оно должно начинаться с "/subscriptions/{id}".
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-SignInName
Адрес электронной почты или имя участника-пользователя пользователя.
| Тип: | String |
| Aliases: | Email, UserPrincipalName |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | True |
| Принять подстановочные знаки: | False |
-SkipClientSideScopeValidation
Если задано, пропустите проверку области на стороне клиента.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
Входные данные
Выходные данные
Примечания
Ключевые слова: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment
Связанные ссылки
Azure PowerShell