New-AzRoleAssignment

  • Referens
Modul:
Az.Resources

Tilldelar den angivna RBAC-rollen till det angivna huvudkontot i det angivna omfånget.

Cmdleten kan anropa under Microsoft Graph API enligt indataparametrar:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}

Observera att den här cmdleten kommer att markeras ObjectType som Unknown i utdata om objektet för rolltilldelningen inte hittas eller om det aktuella kontot inte har tillräckliga behörigheter för att hämta objekttypen.

Syntax

New-AzRoleAssignment
   -ObjectId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -Scope <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -InputFile <String>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

Använd kommandot New-AzRoleAssignment för att bevilja åtkomst. Åtkomst beviljas genom att tilldela lämplig RBAC-roll till dem i rätt omfång. Om du vill bevilja åtkomst till hela prenumerationen tilldelar du en roll i prenumerationsomfånget. Om du vill bevilja åtkomst till en specifik resursgrupp i en prenumeration tilldelar du en roll i resursgruppens omfång. Ämnet för tilldelningen måste anges. Om du vill ange en användare använder du Parametrarna SignInName eller Microsoft Entra ObjectId. Om du vill ange en säkerhetsgrupp använder du parametern Microsoft Entra ObjectId. Och om du vill ange ett Microsoft Entra-program använder du ApplicationId- eller ObjectId-parametrar. Den roll som tilldelas måste anges med parametern RoleDefinitionName. Omfånget där åtkomst beviljas kan anges. Den är standard för den valda prenumerationen. Tilldelningens omfattning kan anges med någon av följande parameterkombinationer a. Omfång – det här är det fullständigt kvalificerade omfånget som börjar med /subscriptions/<subscriptionId> b. ResourceGroupName – för att bevilja åtkomst till den angivna resursgruppen. c. ResourceName, ResourceType, ResourceGroupName och (valfritt) ParentResource – för att ange en viss resurs i en resursgrupp att bevilja åtkomst till.

Exempel

Exempel 1

New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

Bevilja läsare rollåtkomst till en användare i ett resursgruppsomfång där rolltilldelningen är tillgänglig för delegering

Exempel 2

Get-AzADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb

New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor  -ResourceGroupName rg1

Bevilja åtkomst till en säkerhetsgrupp

Exempel 3

New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Bevilja åtkomst till en användare på en resurs (webbplats)

Exempel 4

New-AzRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

Bevilja åtkomst till en grupp i en kapslad resurs (undernät)

Exempel 5

$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

Bevilja läsare åtkomst till ett huvudnamn för tjänsten

Parametrar

-AllowDelegation

Delegeringsflaggan när du skapar en rolltilldelning.

Type:SwitchParameter
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-ApplicationId

Program-ID för ServicePrincipal

Type:String
Aliases:SPN, ServicePrincipalName
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-Condition

Villkor som ska tillämpas på RoleAssignment.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-ConditionVersion

Version av villkoret.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-DefaultProfile

Autentiseringsuppgifter, konto, klientorganisation och prenumeration som används för kommunikation med Azure

Type:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Description

Kort beskrivning av rolltilldelningen.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-InputFile

Sökväg till rolltilldelning json

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ObjectId

Microsoft Entra Objectid för användaren, gruppen eller tjänstens huvudnamn.

Type:String
Aliases:Id, PrincipalId
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ObjectType

Ska användas med ObjectId. Anger typen av asignee-objekt

Type:String
Aliases:PrincipalType
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-ParentResource

Den överordnade resursen i hierarkin (för den resurs som anges med resourcename-parametern). Ska endast användas tillsammans med parametrarna ResourceGroupName, ResourceType och ResourceName för att konstruera ett hierarkiskt omfång i form av en relativ URI som identifierar en resurs.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-ResourceGroupName

Resursgruppens namn. Skapar en tilldelning som gäller för den angivna resursgruppen. När det används tillsammans med parametrarna ResourceName, ResourceType och (valfritt)ParentResource konstruerar kommandot ett hierarkiskt omfång i form av en relativ URI som identifierar en resurs.

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ResourceName

Resursnamnet. För t.ex. storageaccountprod. Ska endast användas tillsammans med Parametrarna ResourceGroupName, ResourceType och (valfritt)ParentResource för att konstruera ett hierarkiskt omfång i form av en relativ URI som identifierar en resurs.

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-ResourceType

Resurstypen. Till exempel Microsoft.Network/virtualNetworks. Bör endast användas tillsammans med Parametrarna ResourceGroupName, ResourceName och (valfritt)ParentResource för att konstruera ett hierarkiskt omfång i form av en relativ URI som identifierar en resurs.

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-RoleDefinitionId

ID för RBAC-rollen som måste tilldelas till huvudkontot.

Type:Guid
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-RoleDefinitionName

Namnet på RBAC-rollen som måste tilldelas till huvudkontot, t.ex. läsare, deltagare, administratör för virtuellt nätverk osv.

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-Scope

Omfånget för rolltilldelningen. I formatet för relativ URI. Till exempel "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Om det inte anges skapar du rolltilldelningen på prenumerationsnivå. Om det anges bör det börja med "/subscriptions/{id}".

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-SignInName

E-postadressen eller användarens huvudnamn.

Type:String
Aliases:Email, UserPrincipalName
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-SkipClientSideScopeValidation

Om du anger det hoppar du över validering av klientsidans omfång.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False

Indata

String

Guid

Utdata

PSRoleAssignment

Kommentarer

Nyckelord: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment