az role assignment

Zarządzanie przypisaniami ról.

Polecenia

az role assignment create	Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi.
az role assignment delete	Usuwanie przypisań ról.
az role assignment list	Wyświetlanie listy przypisań ról.
az role assignment list-changelogs	Lista dzienników zmian dla przypisań ról.
az role assignment update	Zaktualizuj istniejące przypisanie roli dla użytkownika, grupy lub jednostki usługi.

az role assignment create

Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]

Przykłady

Utwórz przypisanie roli dla elementu przypisanego.

az role assignment create --assignee sp_name --role a_role

Utwórz przypisanie roli dla elementu przypisanego z opisem i warunkiem.

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi. (automatycznie wygenerowane)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Parametry wymagane

--role

Nazwa roli lub identyfikator.

Parametry opcjonalne

--assignee

Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.

--assignee-object-id

Użyj tego parametru zamiast parametru "--assignee", aby pominąć wywołanie interfejs Graph API w przypadku niewystarczających uprawnień. Ten parametr działa tylko z identyfikatorami obiektów dla użytkowników, grup, jednostek usługi i tożsamości zarządzanych. W przypadku tożsamości zarządzanych użyj identyfikatora podmiotu zabezpieczeń. W przypadku jednostek usługi użyj identyfikatora obiektu, a nie identyfikatora aplikacji.

--assignee-principal-type

Użyj polecenia z atrybutem --assignee-object-id, aby uniknąć błędów spowodowanych opóźnieniem propagacji w grafie usługi AAD.

akceptowane wartości: ForeignGroup, Group, ServicePrincipal, User

--condition

Warunek, w którym użytkownik może mieć uprawnienia.

--condition-version

Wersja składni warunku. Jeśli parametr --condition jest określony bez parametru --condition-version, wartość domyślna to 2.0.

--description

Opis przypisania roli.

--resource-group -g

Należy go używać tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.

--scope

Zakres, w którym ma zastosowanie przypisanie lub definicja roli, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroups, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykłady.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debug, aby uzyskać pełne dzienniki debugowania.

az role assignment delete

Usuwanie przypisań ról.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Przykłady

Usuwanie przypisań ról. (automatycznie wygenerowane)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parametry opcjonalne

--assignee

Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.

--ids

Identyfikatory przypisania roli rozdzielone spacjami.

--include-inherited

Uwzględnianie przypisań zastosowanych w zakresach nadrzędnych.

--resource-group -g

Należy go używać tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.

--role

Nazwa roli lub identyfikator.

--scope

Zakres, w którym ma zastosowanie przypisanie lub definicja roli, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroups, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Kontynuuj usuwanie wszystkich przypisań w ramach subskrypcji.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykłady.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debug, aby uzyskać pełne dzienniki debugowania.

az role assignment list

Wyświetlanie listy przypisań ról.

Domyślnie będą wyświetlane tylko przypisania ograniczone do subskrypcji. Aby wyświetlić przypisania ograniczone przez zasób lub grupę, użyj polecenia --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Parametry opcjonalne

--all

Pokaż wszystkie przypisania w ramach bieżącej subskrypcji.

--assignee

Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.

--include-classic-administrators

Wyświetl listę domyślnych przypisań ról dla administratorów klasycznych subskrypcji, czyli współadministratorów.

akceptowane wartości: false, true

--include-groups

Dołącz dodatkowe przypisania do grup, których użytkownik jest członkiem (przechodnio).

--include-inherited

Uwzględnianie przypisań zastosowanych w zakresach nadrzędnych.

--resource-group -g

Należy go używać tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.

--role

Nazwa roli lub identyfikator.

--scope

Zakres, w którym ma zastosowanie przypisanie lub definicja roli, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroups, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykłady.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debug, aby uzyskać pełne dzienniki debugowania.

az role assignment list-changelogs

Lista dzienników zmian dla przypisań ról.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parametry opcjonalne

--end-time

Godzina zakończenia kwerendy w formacie %Y-%m-%dT%H:%M:%SZ, np. 2000-12-31T12:59:59:59Z. Wartość domyślna to bieżąca godzina.

--start-time

Godzina rozpoczęcia kwerendy w formacie %Y-%m-%dT%H:%M:%SZ, np. 2000-12-31T12:59:59:59Z. Wartość domyślna to 1 godzina przed bieżącą godziną.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykłady.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debug, aby uzyskać pełne dzienniki debugowania.

az role assignment update

Zaktualizuj istniejące przypisanie roli dla użytkownika, grupy lub jednostki usługi.

az role assignment update --role-assignment

Przykłady

Aktualizowanie przypisania roli z pliku JSON.

az role assignment update --role-assignment assignment.json

Aktualizowanie przypisania roli z ciągu JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parametry wymagane

--role-assignment

Opis istniejącego przypisania roli w formacie JSON lub ścieżka do pliku zawierającego opis JSON.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykłady.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debug, aby uzyskać pełne dzienniki debugowania.