az role assignment

Verwalten von Rollenzuweisungen.

Befehle

az role assignment create	Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.
az role assignment delete	Rollenzuweisungen löschen.
az role assignment list	Listen Sie die Rollenzuweisungen auf:
az role assignment list-changelogs	Listen von Änderungsprotokollen für Rollenzuweisungen auf.
az role assignment update	Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment create

Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]

Beispiele

Erstellen Sie die Rollenzuweisung für eine Zuweisung.

az role assignment create --assignee sp_name --role a_role

Erstellen Sie die Rollenzuweisung für eine Zuweisung mit Beschreibung und Bedingung.

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal. (automatisch generiert)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Erforderliche Parameter

--role

Rollenname oder ID.

Optionale Parameter

--assignee

Stellen Sie einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Verwenden Sie diesen Parameter anstelle von '-Zuweisen', um Graph-API Aufrufe bei unzureichenden Berechtigungen zu umgehen. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Für verwaltete Identitäten verwenden Sie die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die App-ID.

--assignee-principal-type

Verwenden Sie mit --assignee-object-id, um Fehler zu vermeiden, die durch die Verbreitungslatenz in AAD Graph verursacht werden.

Zulässige Werte: ForeignGroup, Group, ServicePrincipal, User

--condition

Hierbei handelt es sich um die Bedingung, unter der dem Benutzer die Berechtigung erteilt werden kann.

--condition-version

Hierbei handelt es sich um die Version der Bedingungssyntax. Wenn --bedingung ohne --condition-version angegeben wird, standardmäßig auf 2.0.

--description

Beschreibung der Rollenzuweisung.

--resource-group -g

Verwenden Sie es nur, wenn die Rolle oder Zuordnung auf Ebene einer Ressourcengruppe hinzugefügt wurde.

--scope

Bereich, an dem die Rollenzuweisung oder -definition gilt, z. B. /abonnements/0b1f6471-1bff0-4dda-aec3-111222233333, /abonnements/0b1f6471-1bf0-4dda-aec3-11122222333/resourceGroups/myGroups oder /abonnements/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az role assignment delete

Rollenzuweisungen löschen.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Beispiele

Rollenzuweisungen löschen. (automatisch generiert)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Optionale Parameter

--assignee

Stellen Sie einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--ids

Leerzeichen getrennte Rollenzuweisungs-IDs.

--include-inherited

Einschließen von Zuordnungen, die auf übergeordneten Bereichen angewendet werden.

--resource-group -g

Verwenden Sie es nur, wenn die Rolle oder Zuordnung auf Ebene einer Ressourcengruppe hinzugefügt wurde.

--role

Rollenname oder ID.

--scope

Bereich, an dem die Rollenzuweisung oder -definition gilt, z. B. /abonnements/0b1f6471-1bff0-4dda-aec3-111222233333, /abonnements/0b1f6471-1bf0-4dda-aec3-11122222333/resourceGroups/myGroups oder /abonnements/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Löschen Sie weiterhin alle Zuordnungen unter dem Abonnement.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az role assignment list

Listen Sie die Rollenzuweisungen auf:

Standardmäßig werden nur Zuweisungen im Abonnementkontext angezeigt. Zum Anzeigen von Zuweisungen im Ressourcen- oder Gruppenkontext verwenden Sie --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Optionale Parameter

--all

Alle Zuordnungen unter dem aktuellen Abonnement anzeigen.

--assignee

Stellen Sie einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--include-classic-administrators

Listet Standardrollenzuweisungen für klassische Abonnementadministratoren auf, aka Co-Administratoren.

Zulässige Werte: false, true

--include-groups

Fügen Sie zusätzliche Zuordnungen zu den Gruppen ein, von denen der Benutzer mitglied(transitiv) ist.

--include-inherited

Einschließen von Zuordnungen, die auf übergeordneten Bereichen angewendet werden.

--resource-group -g

Verwenden Sie es nur, wenn die Rolle oder Zuordnung auf Ebene einer Ressourcengruppe hinzugefügt wurde.

--role

Rollenname oder ID.

--scope

Bereich, an dem die Rollenzuweisung oder -definition gilt, z. B. /abonnements/0b1f6471-1bff0-4dda-aec3-111222233333, /abonnements/0b1f6471-1bf0-4dda-aec3-11122222333/resourceGroups/myGroups oder /abonnements/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az role assignment list-changelogs

Listen von Änderungsprotokollen für Rollenzuweisungen auf.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Optionale Parameter

--end-time

Die Endzeit der Abfrage im Format von %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Standardeinstellung für die aktuelle Uhrzeit.

--start-time

Die Startzeit der Abfrage im Format von %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Standardeinstellung für 1 Stunde vor dem aktuellen Zeitpunkt.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az role assignment update

Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment update --role-assignment

Beispiele

Aktualisieren einer Rollenzuweisung aus einer JSON-Datei.

az role assignment update --role-assignment assignment.json

Aktualisieren einer Rollenzuweisung aus einer JSON-Zeichenfolge. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Erforderliche Parameter

--role-assignment

Beschreibung einer vorhandenen Rollenzuweisung als JSON oder pfad zu einer Datei, die eine JSON-Beschreibung enthält.

Globale Parameter

--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.