az role assignment

Zarządzanie przypisaniami ról.

Polecenia

az role assignment create

Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi.

az role assignment delete

Usuwanie przypisań ról.

az role assignment list

Wyświetlanie listy przypisań ról.

az role assignment list-changelogs

Lista dzienników zmian dla przypisań ról.

az role assignment update

Zaktualizuj istniejące przypisanie roli dla użytkownika, grupy lub jednostki usługi.

az role assignment create

Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]

Przykłady

Utwórz przypisanie roli dla elementu przypisanego.

az role assignment create --assignee sp_name --role a_role

Utwórz przypisanie roli dla elementu przypisanego z opisem i warunkiem.

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi. (automatycznie wygenerowane)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Parametry wymagane

--role

Nazwa roli lub identyfikator.

Parametry opcjonalne

--assignee

Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.

--assignee-object-id

Użyj tego parametru zamiast parametru "--assignee", aby pominąć wywołanie interfejs Graph API w przypadku niewystarczających uprawnień. Ten parametr działa tylko z identyfikatorami obiektów dla użytkowników, grup, jednostek usługi i tożsamości zarządzanych. W przypadku tożsamości zarządzanych użyj identyfikatora podmiotu zabezpieczeń. W przypadku jednostek usługi użyj identyfikatora obiektu, a nie identyfikatora aplikacji.

--assignee-principal-type

Użyj polecenia z atrybutem --assignee-object-id, aby uniknąć błędów spowodowanych opóźnieniem propagacji w grafie usługi AAD.

akceptowane wartości: ForeignGroup, Group, ServicePrincipal, User
--condition

Warunek, w którym użytkownik może mieć uprawnienia.

--condition-version

Wersja składni warunku. Jeśli parametr --condition jest określony bez parametru --condition-version, wartość domyślna to 2.0.

--description

Opis przypisania roli.

--resource-group -g

Należy go używać tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.

--scope

Zakres, w którym ma zastosowanie przypisanie lub definicja roli, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroups, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment delete

Usuwanie przypisań ról.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Przykłady

Usuwanie przypisań ról. (automatycznie wygenerowane)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Parametry opcjonalne

--assignee

Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.

--ids

Identyfikatory przypisania roli rozdzielone spacjami.

--include-inherited

Uwzględnianie przypisań zastosowanych w zakresach nadrzędnych.

--resource-group -g

Należy go używać tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.

--role

Nazwa roli lub identyfikator.

--scope

Zakres, w którym ma zastosowanie przypisanie lub definicja roli, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroups, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Kontynuuj usuwanie wszystkich przypisań w ramach subskrypcji.

az role assignment list

Wyświetlanie listy przypisań ról.

Domyślnie będą wyświetlane tylko przypisania ograniczone do subskrypcji. Aby wyświetlić przypisania ograniczone przez zasób lub grupę, użyj polecenia --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Parametry opcjonalne

--all

Pokaż wszystkie przypisania w ramach bieżącej subskrypcji.

--assignee

Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.

--include-classic-administrators

Wyświetl listę domyślnych przypisań ról dla administratorów klasycznych subskrypcji, czyli współadministratorów.

akceptowane wartości: false, true
--include-groups

Dołącz dodatkowe przypisania do grup, których użytkownik jest członkiem (przechodnio).

--include-inherited

Uwzględnianie przypisań zastosowanych w zakresach nadrzędnych.

--resource-group -g

Należy go używać tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.

--role

Nazwa roli lub identyfikator.

--scope

Zakres, w którym ma zastosowanie przypisanie lub definicja roli, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111222233333, /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroups, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment list-changelogs

Lista dzienników zmian dla przypisań ról.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Parametry opcjonalne

--end-time

Godzina zakończenia kwerendy w formacie %Y-%m-%dT%H:%M:%SZ, np. 2000-12-31T12:59:59:59Z. Wartość domyślna to bieżąca godzina.

--start-time

Godzina rozpoczęcia kwerendy w formacie %Y-%m-%dT%H:%M:%SZ, np. 2000-12-31T12:59:59:59Z. Wartość domyślna to 1 godzina przed bieżącą godziną.

az role assignment update

Zaktualizuj istniejące przypisanie roli dla użytkownika, grupy lub jednostki usługi.

az role assignment update --role-assignment

Przykłady

Aktualizowanie przypisania roli z pliku JSON.

az role assignment update --role-assignment assignment.json

Aktualizowanie przypisania roli z ciągu JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Parametry wymagane

--role-assignment

Opis istniejącego przypisania roli w formacie JSON lub ścieżka do pliku zawierającego opis JSON.