az role assignment

Verwalten von Rollenzuweisungen.

Befehle

az role assignment create

Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment delete

Rollenzuweisungen löschen.

az role assignment list

Rollenzuweisungen auflisten.

az role assignment list-changelogs

Listen von Änderungsprotokollen für Rollenzuweisungen auf.

az role assignment update

Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment create

Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]

Beispiele

Erstellen Sie die Rollenzuweisung für eine Zuweisung.

az role assignment create --assignee sp_name --role a_role

Erstellen Sie die Rollenzuweisung für eine Zuweisung mit Beschreibung und Bedingung.

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal. (automatisch generiert)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Erforderliche Parameter

--role

Rollenname oder ID.

Optionale Parameter

--assignee

Stellen Sie einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Verwenden Sie diesen Parameter anstelle von '-Zuweisen', um Graph-API Aufrufe bei unzureichenden Berechtigungen zu umgehen. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Für verwaltete Identitäten verwenden Sie die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die App-ID.

--assignee-principal-type

Verwenden Sie die --assignee-object-id, um Fehler zu vermeiden, die durch die Verbreitungslatenz in AAD Graph verursacht werden.

Zulässige Werte: ForeignGroup, Group, ServicePrincipal, User
--condition

Hierbei handelt es sich um die Bedingung, unter der dem Benutzer die Berechtigung erteilt werden kann.

--condition-version

Hierbei handelt es sich um die Version der Bedingungssyntax. Wenn --bedingung ohne --condition-version angegeben wird, standardmäßig auf 2.0.

--description

Beschreibung der Rollenzuweisung.

--resource-group -g

Verwenden Sie es nur, wenn die Rolle oder Zuordnung auf Ebene einer Ressourcengruppe hinzugefügt wurde.

--scope

Bereich, an dem die Rollenzuweisung oder -definition gilt, z. B. /abonnements/0b1f6471-1bff0-4dda-aec3-111222233333, /abonnements/0b1f6471-1bf0-4dda-aec3-11122222333/resourceGroups/myGroups oder /abonnements/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment delete

Rollenzuweisungen löschen.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Beispiele

Rollenzuweisungen löschen. (automatisch generiert)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Optionale Parameter

--assignee

Stellen Sie einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--ids

Leerzeichen getrennte Rollenzuweisungs-IDs.

--include-inherited

Einschließen von Zuordnungen, die auf übergeordneten Bereichen angewendet werden.

--resource-group -g

Verwenden Sie es nur, wenn die Rolle oder Zuordnung auf Ebene einer Ressourcengruppe hinzugefügt wurde.

--role

Rollenname oder ID.

--scope

Bereich, an dem die Rollenzuweisung oder -definition gilt, z. B. /abonnements/0b1f6471-1bff0-4dda-aec3-111222233333, /abonnements/0b1f6471-1bf0-4dda-aec3-11122222333/resourceGroups/myGroups oder /abonnements/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Löschen Sie weiterhin alle Zuordnungen unter dem Abonnement.

az role assignment list

Rollenzuweisungen auflisten.

Standardmäßig werden nur Zuweisungen im Abonnementkontext angezeigt. Zum Anzeigen von Zuweisungen im Ressourcen- oder Gruppenkontext verwenden Sie --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Optionale Parameter

--all

Alle Zuordnungen unter dem aktuellen Abonnement anzeigen.

--assignee

Stellen Sie einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--include-classic-administrators

Listet Standardrollenzuweisungen für klassische Abonnementadministratoren auf, aka Co-Administratoren.

Zulässige Werte: false, true
--include-groups

Fügen Sie zusätzliche Zuordnungen zu den Gruppen ein, von denen der Benutzer mitglied(transitiv) ist.

--include-inherited

Einschließen von Zuordnungen, die auf übergeordneten Bereichen angewendet werden.

--resource-group -g

Verwenden Sie es nur, wenn die Rolle oder Zuordnung auf Ebene einer Ressourcengruppe hinzugefügt wurde.

--role

Rollenname oder ID.

--scope

Bereich, an dem die Rollenzuweisung oder -definition gilt, z. B. /abonnements/0b1f6471-1bff0-4dda-aec3-111222233333, /abonnements/0b1f6471-1bf0-4dda-aec3-11122222333/resourceGroups/myGroups oder /abonnements/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment list-changelogs

Listen von Änderungsprotokollen für Rollenzuweisungen auf.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Optionale Parameter

--end-time

Die Endzeit der Abfrage im Format von %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Standardeinstellung für die aktuelle Uhrzeit.

--start-time

Die Startzeit der Abfrage im Format von %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Standardeinstellung für 1 Stunde vor dem aktuellen Zeitpunkt.

az role assignment update

Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment update --role-assignment

Beispiele

Aktualisieren einer Rollenzuweisung aus einer JSON-Datei.

az role assignment update --role-assignment assignment.json

Aktualisieren einer Rollenzuweisung aus einer JSON-Zeichenfolge. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Erforderliche Parameter

--role-assignment

Beschreibung einer vorhandenen Rollenzuweisung als JSON oder pfad zu einer Datei, die eine JSON-Beschreibung enthält.