az role assignment
管理角色指派。
命令
| 名稱 | Description | 類型 | 狀態 |
|---|---|---|---|
| az role assignment create |
為使用者、群組或服務主體建立新的角色指派。 |
核心 | 加語 |
| az role assignment delete |
刪除角色指派。 |
核心 | 加語 |
| az role assignment list |
列出角色指派。 |
核心 | 加語 |
| az role assignment list-changelogs |
列出角色指派的變更記錄。 |
核心 | 加語 |
| az role assignment update |
更新使用者、群組或服務主體的現有角色指派。 |
核心 | 加語 |
az role assignment create
為使用者、群組或服務主體建立新的角色指派。
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]範例
建立角色指派,將 Azure 虛擬機上的讀取者角色授與指定的被指派者。
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm為具有描述和條件的被指派者建立角色指派。
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"使用您自己的指派名稱建立角色指派。
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000必要參數
角色名稱或識別碼。
角色指派或定義適用的範圍,例如 /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333、/subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, 或 /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。
選擇性參數
代表使用者、群組或服務主體。 支援的格式:物件標識碼、使用者登入名稱或服務主體名稱。
被分派人的物件ID(也稱為主體ID)。 使用此參數而不是“--assignee”可繞過 Microsoft Graph 查詢,以防登錄帳戶沒有許可權或計算機沒有查詢 Microsoft Graph 的網络訪問許可權。
與 --assignee-object-id 搭配使用,以避免在 Microsoft Graph 中傳播延遲所造成的錯誤。
使用者可獲得授權的條件。
條件語法的版本。 如果未指定 --condition-version,則預設為 2.0。
角色指派的描述。
角色指派的 GUID。 每個角色指派都必須是唯一且不同的。 如果省略,就會產生新的 GUID。
全域參數
提高日誌詳細程度以顯示所有調試日誌。
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
輸出格式。
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。
增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。
az role assignment delete
刪除角色指派。
此命令會刪除滿足所提供查詢條件的所有角色指派。 執行此命令之前,強烈建議先使用相同的自變數執行 az role assignment list,以查看將刪除哪些角色指派。
az role assignment delete [--assignee]
[--assignee-object-id]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]範例
刪除訂用帳戶範圍中具有「讀取者」角色的所有角色指派。
az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000刪除訂用帳戶範圍中被指派者的所有角色指派。
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000刪除訂閱範圍內的受理人(及其物件ID)的所有角色分配。
az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000選擇性參數
代表使用者、群組或服務主體。 支援的格式:物件標識碼、使用者登入名稱或服務主體名稱。
被分派人的物件ID(也稱為主體ID)。 使用此參數而不是“--assignee”可繞過 Microsoft Graph 查詢,以防登錄帳戶沒有許可權或計算機沒有查詢 Microsoft Graph 的網络訪問許可權。
以空格分隔的角色指派標識碼。
包含父範圍上套用的指派。
只有在資源群組層級新增角色或指派時,才使用它。
角色名稱或識別碼。
角色指派或定義適用的範圍,例如 /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333、/subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, 或 /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。
目前 no-op。
全域參數
提高日誌詳細程度以顯示所有調試日誌。
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
輸出格式。
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。
增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。
az role assignment list
列出角色指派。
根據預設,只會顯示限定為訂用帳戶的指派。 若要檢視資源或群組範圍的工作分派,請使用 --all。
az role assignment list [--all]
[--assignee]
[--assignee-object-id]
[--fill-principal-name {false, true}]
[--fill-role-definition-name {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]範例
列出訂閱範圍內的角色分配。
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000列出訂閱範圍內的角色分配,而不填寫 roleDefinitionName 屬性。
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false列出訂閱範圍內具有「讀取者」角色的角色分配。
az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000列出訂閱範圍內的受理人的角色分配。
az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000在訂閱範圍內列出受理人的角色分配(及其物件ID),而不填寫principalName屬性。 此命令不查詢 Microsoft Graph。
az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false選擇性參數
顯示目前訂用帳戶下的所有指派。
代表使用者、群組或服務主體。 支援的格式:物件標識碼、使用者登入名稱或服務主體名稱。
被分派人的物件ID(也稱為主體ID)。 使用此參數而不是“--assignee”可繞過 Microsoft Graph 查詢,以防登錄帳戶沒有許可權或計算機沒有查詢 Microsoft Graph 的網络訪問許可權。
查詢 Microsoft Graph 以獲取被分派人的 userPrincipalName(對於使用者)、servicePrincipalNames(對於服務主體)或 displayName(對於組),然後使用它填充 principalName 屬性。 如果登錄帳戶沒有許可權或計算機沒有查詢 Microsoft Graph 的網路訪問許可權,請將此標誌設置為 false 以避免警告或錯誤。
除了 roleDefinitionId 之外,還要填寫 roleDefinitionName 屬性。 此作成本高昂。 如果您遇到性能問題,請將此標誌設置為 false。
包括對用戶所屬組的額外分配(傳遞)。
包含父範圍上套用的指派。
只有在資源群組層級新增角色或指派時,才使用它。
角色名稱或識別碼。
角色指派或定義適用的範圍,例如 /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333、/subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, 或 /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。
全域參數
提高日誌詳細程度以顯示所有調試日誌。
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
輸出格式。
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。
增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。
az role assignment list-changelogs
列出角色指派的變更記錄。
az role assignment list-changelogs [--end-time]
[--start-time]選擇性參數
查詢格式為 %Y-%m-%dT%H:%M:%SZ 的結束時間,例如 2000-12-31T12:59:59Z。 預設為目前時間。
查詢的開始時間,格式為 %Y-%m-%dT%H:%M:%SZ,例如 2000-12-31T12:59:59Z。 預設為目前時間之前的 1 小時。
全域參數
提高日誌詳細程度以顯示所有調試日誌。
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
輸出格式。
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。
增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。
az role assignment update
更新使用者、群組或服務主體的現有角色指派。
az role assignment update --role-assignment範例
從 JSON 檔案更新角色指派。
az role assignment update --role-assignment assignment.json從 JSON 字串更新角色指派。 (巴什)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'必要參數
現有角色指派的描述為 JSON,或包含 JSON 描述的檔案路徑。
全域參數
提高日誌詳細程度以顯示所有調試日誌。
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
輸出格式。
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或標識碼。 您可以使用 az account set -s NAME_OR_ID來設定預設訂用帳戶。
增加記錄的詳細程度。 針對完整偵錯記錄使用 --debug。
