New-AzRoleAssignment
Belirtilen RBAC rolünü belirtilen kapsamda belirtilen sorumluya atar.
Cmdlet, giriş parametrelerine göre Microsoft Graph API'sinin altında çağrı yapabilir:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
Rol ataması nesnesi bulunamazsa veya geçerli hesabın nesne türünü almak için yeterli ayrıcalığı yoksa, bu cmdlet'in çıktıda olarak Unknown işaretlendiğini ObjectType lütfen unutmayın.
Sözdizimi
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Description
Erişim vermek için New-AzRoleAssignment komutunu kullanın. Erişim, doğru kapsamda uygun RBAC rolü atanarak verilir. Aboneliğin tamamına erişim vermek için abonelik kapsamında bir rol atayın. Abonelik içindeki belirli bir kaynak grubuna erişim vermek için kaynak grubu kapsamında bir rol atayın. Atamanın konusu belirtilmelidir. Kullanıcı belirtmek için SignInName veya Microsoft Entra ObjectId parametrelerini kullanın. Bir güvenlik grubu belirtmek için Microsoft Entra ObjectId parametresini kullanın. Bir Microsoft Entra uygulaması belirtmek için ApplicationId veya ObjectId parametrelerini kullanın. Atanan rol RoleDefinitionName parametresi kullanılarak belirtilmelidir. Erişim verilen kapsam belirtilebilir. Varsayılan olarak seçili aboneliği kullanır. Atamanın kapsamı aşağıdaki parametre birleşimlerinden biri kullanılarak belirtilebilir. Kapsam - Bu, /subscriptions/<subscriptionId> b ile başlayan tam kapsamlıdır. ResourceGroupName - belirtilen kaynak grubuna erişim vermek için. c. ResourceName, ResourceType, ResourceGroupName ve (isteğe bağlı olarak) ParentResource - erişim izni vermek üzere bir kaynak grubu içinde belirli bir kaynağı belirtmek için.
Örnekler
Örnek 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegationRol Ataması temsilci olarak kullanılabilir durumda olan bir kaynak grubu kapsamındaki bir kullanıcıya Okuyucu rolü erişimi verme
Örnek 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1Güvenlik grubuna erişim izni verme
Örnek 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"Kullanıcıya bir kaynakta (web sitesi) erişim izni verme
Örnek 4
New-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Networkİç içe kaynakta (alt ağ) bir gruba erişim izni verme
Örnek 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationIdHizmet sorumlusuna okuyucu erişimi verme
Parametreler
-AllowDelegation
Rol ataması oluşturulurken temsilci bayrağı.
| Tür: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Gerekli: | False |
| İşlem hattı girişini kabul et: | False |
| Joker karakterleri kabul et: | False |
-ApplicationId
ServicePrincipal'ın Uygulama Kimliği
| Tür: | String |
| Diğer adlar: | SPN, ServicePrincipalName |
| Position: | Named |
| Default value: | None |
| Gerekli: | True |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-Condition
RoleAssignment'a uygulanacak koşul.
| Tür: | String |
| Position: | Named |
| Default value: | None |
| Gerekli: | False |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-ConditionVersion
Koşulun sürümü.
| Tür: | String |
| Position: | Named |
| Default value: | None |
| Gerekli: | False |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-DefaultProfile
Azure ile iletişim için kullanılan kimlik bilgileri, hesap, kiracı ve abonelik
| Tür: | IAzureContextContainer |
| Diğer adlar: | AzContext, AzureRmContext, AzureCredential |
| Position: | Named |
| Default value: | None |
| Gerekli: | False |
| İşlem hattı girişini kabul et: | False |
| Joker karakterleri kabul et: | False |
-Description
Rol atamasının kısa açıklaması.
| Tür: | String |
| Position: | Named |
| Default value: | None |
| Gerekli: | False |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-InputFile
Rol atama json yolu
| Tür: | String |
| Position: | Named |
| Default value: | None |
| Gerekli: | True |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-ObjectId
Kullanıcı, grup veya hizmet sorumlusunun Microsoft Entra Objectid değeri.
| Tür: | String |
| Diğer adlar: | Id, PrincipalId |
| Position: | Named |
| Default value: | None |
| Gerekli: | True |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-ObjectType
ObjectId ile kullanılacak. asignee nesnesinin türünü belirtir
| Tür: | String |
| Diğer adlar: | PrincipalType |
| Position: | Named |
| Default value: | None |
| Gerekli: | False |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-ParentResource
Hiyerarşideki üst kaynak (ResourceName parametresi kullanılarak belirtilen kaynağın). Kaynağı tanımlayan göreli bir URI biçiminde hiyerarşik bir kapsam oluşturmak için yalnızca ResourceGroupName, ResourceType ve ResourceName parametreleriyle birlikte kullanılmalıdır.
| Tür: | String |
| Position: | Named |
| Default value: | None |
| Gerekli: | False |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-ResourceGroupName
Kaynak grubu adı. Belirtilen kaynak grubunda etkili olan bir atama oluşturur. ResourceName, ResourceType ve (isteğe bağlı)ParentResource parametreleriyle birlikte kullanıldığında, komut bir kaynağı tanımlayan göreli bir URI biçiminde hiyerarşik bir kapsam oluşturur.
| Tür: | String |
| Position: | Named |
| Default value: | None |
| Gerekli: | True |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-ResourceName
Kaynak adı. Örneğin storageaccountprod için. Kaynağı tanımlayan göreli bir URI biçiminde hiyerarşik bir kapsam oluşturmak için yalnızca ResourceGroupName, ResourceType ve (isteğe bağlı)ParentResource parametreleriyle birlikte kullanılmalıdır.
| Tür: | String |
| Position: | Named |
| Default value: | None |
| Gerekli: | True |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-ResourceType
Kaynağın türü. Örneğin Microsoft.Network/virtualNetworks için. Kaynağı tanımlayan göreli bir URI biçiminde hiyerarşik bir kapsam oluşturmak için yalnızca ResourceGroupName, ResourceName ve (isteğe bağlı)ParentResource parametreleriyle birlikte kullanılmalıdır.
| Tür: | String |
| Position: | Named |
| Default value: | None |
| Gerekli: | True |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-RoleDefinitionId
Sorumluya atanması gereken RBAC rolünün kimliği.
| Tür: | Guid |
| Position: | Named |
| Default value: | None |
| Gerekli: | True |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-RoleDefinitionName
Sorumluya atanması gereken RBAC rolünün adı ( Okuyucu, Katkıda Bulunan, Sanal Ağ Yönetici vb.)
| Tür: | String |
| Position: | Named |
| Default value: | None |
| Gerekli: | True |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-Scope
Rol atamasının kapsamı. Göreli URI biçiminde. Örneğin, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Belirtilmezse, rol atamasını abonelik düzeyinde oluşturur. Belirtilirse , "/subscriptions/{id}" ile başlamalıdır.
| Tür: | String |
| Position: | Named |
| Default value: | None |
| Gerekli: | True |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-SignInName
Kullanıcının e-posta adresi veya kullanıcı asıl adı.
| Tür: | String |
| Diğer adlar: | Email, UserPrincipalName |
| Position: | Named |
| Default value: | None |
| Gerekli: | True |
| İşlem hattı girişini kabul et: | True |
| Joker karakterleri kabul et: | False |
-SkipClientSideScopeValidation
Belirtilirse, istemci tarafı kapsam doğrulamayı atlayın.
| Tür: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Gerekli: | False |
| İşlem hattı girişini kabul et: | False |
| Joker karakterleri kabul et: | False |
Girişler
Çıkışlar
Notlar
Anahtar sözcükler: azure, azurerm, arm, kaynak, yönetim, yönetici, kaynak, grup, şablon, dağıtım