New-AzureRmRoleAssignment
Przypisuje określoną rolę RBAC do określonego podmiotu zabezpieczeń w określonym zakresie.
Ostrzeżenie
Moduł AzureRM PowerShell został oficjalnie przestarzały od 29 lutego 2024 r. Zaleca się migrowanie użytkowników z modułu AzureRM do modułu Az programu PowerShell w celu zapewnienia ciągłej obsługi i aktualizacji.
Mimo że moduł AzureRM może nadal działać, nie jest już utrzymywany ani obsługiwany, umieszczając wszelkie dalsze zastosowania według uznania i ryzyka użytkownika. Zapoznaj się z naszymi zasobami migracji, aby uzyskać wskazówki dotyczące przejścia do modułu Az.
Składnia
New-AzureRmRoleAssignment
-ObjectId <Guid>
-Scope <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ObjectId <Guid>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ObjectId <Guid>
-Scope <String>
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Opis
Aby udzielić dostępu, użyj polecenia New-AzureRMRoleAssignment. Dostęp jest udzielany przez przypisanie odpowiedniej roli RBAC do nich w odpowiednim zakresie. Aby udzielić dostępu do całej subskrypcji, przypisz rolę w zakresie subskrypcji. Aby udzielić dostępu do określonej grupy zasobów w ramach subskrypcji, przypisz rolę w zakresie grupy zasobów. Należy określić temat przypisania. Aby określić użytkownika, użyj parametrów SignInName lub Microsoft Entra ObjectId. Aby określić grupę zabezpieczeń, użyj parametru Microsoft Entra ObjectId. Aby określić aplikację Microsoft Entra, użyj parametrów ApplicationId lub ObjectId. Przypisaną rolę należy określić przy użyciu parametru RoleDefinitionName. Można określić zakres, w którym jest udzielany dostęp. Domyślnie jest to wybrana subskrypcja. Zakres przypisania można określić przy użyciu jednej z następujących kombinacji parametrów a. Zakres — jest to w pełni kwalifikowany zakres rozpoczynający się od /subscriptions/<subscriptionId> b. ResourceGroupName — aby udzielić dostępu do określonej grupy zasobów. c. ResourceName, ResourceType, ResourceGroupName i (opcjonalnie) ParentResource — aby określić określony zasób w grupie zasobów w celu udzielenia dostępu.
Przykłady
Przykład 1
PS C:\> New-AzureRmRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegationUdzielanie użytkownikowi dostępu roli czytelnika w zakresie grupy zasobów, przy czym przypisanie roli jest dostępne dla delegowania
Przykład 2
PS C:\> Get-AzureRMADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
PS C:\> New-AzureRmRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1Udzielanie dostępu do grupy zabezpieczeń
Przykład 3
PS C:\> New-AzureRmRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"Udzielanie dostępu użytkownikowi w zasobie (witryna internetowa)
Przykład 4
PS C:\> New-AzureRMRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName NetworkUdzielanie dostępu do grupy w zagnieżdżonym zasobie (podsieci)
Przykład 5
PS C:\> $servicePrincipal = New-AzureRmADServicePrincipal -DisplayName "testServiceprincipal"
PS C:\> New-AzureRmRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationIdUdzielanie czytelnikowi dostępu do jednostki usługi
Parametry
-AllowDelegation
Flaga delegowania podczas tworzenia przypisania roli.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ApplicationId
Identyfikator aplikacji elementu ServicePrincipal
| Type: | String |
| Aliases: | SPN, ServicePrincipalName |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-DefaultProfile
Poświadczenia, konto, dzierżawa i subskrypcja używane do komunikacji z platformą Azure
| Type: | IAzureContextContainer |
| Aliases: | AzureRmContext, AzureCredential |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ObjectId
Microsoft Entra Objectid użytkownika, grupy lub jednostki usługi.
| Type: | Guid |
| Aliases: | Id, PrincipalId |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ParentResource
Zasób nadrzędny w hierarchii (zasobu określonego przy użyciu parametru ResourceName). Należy używać tylko w połączeniu z parametrami ResourceGroupName, ResourceType i ResourceName, aby utworzyć zakres hierarchiczny w postaci względnego identyfikatora URI identyfikującego zasób.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ResourceGroupName
Nazwa grupy zasobów. Tworzy przypisanie obowiązujące w określonej grupie zasobów. W połączeniu z parametrami ResourceName, ResourceType i (opcjonalnie)ParentResource polecenie tworzy hierarchiczny zakres w postaci względnego identyfikatora URI identyfikującego zasób.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ResourceName
Nazwa zasobu. Na przykład storageaccountprod. Powinny być używane tylko w połączeniu z ResourceGroupName, ResourceType i (opcjonalnie)Parametry ParentResource do konstruowania zakresu hierarchicznego w postaci względnego identyfikatora URI identyfikującego zasób.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-ResourceType
Typ zasobu. Na przykład Microsoft.Network/virtualNetworks. Powinny być używane tylko w połączeniu z ResourceGroupName, ResourceName i (opcjonalnie)Parametry ParentResource do konstruowania zakresu hierarchicznego w postaci względnego identyfikatora URI identyfikującego zasób.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-RoleDefinitionId
Identyfikator roli RBAC, która musi być przypisana do podmiotu zabezpieczeń.
| Type: | Guid |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-RoleDefinitionName
Nazwa roli RBAC, która musi być przypisana do podmiotu zabezpieczeń, np. Czytelnik, Współautor, Administracja istrator sieci wirtualnej itp.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-Scope
Zakres przypisania roli. W formacie względnego identyfikatora URI. Na przykład "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Jeśli nie zostanie określony, utworzy przypisanie roli na poziomie subskrypcji. Jeśli zostanie określony, powinien on rozpoczynać się od ciągu "/subscriptions/{id}".
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-SignInName
Adres e-mail lub główna nazwa użytkownika użytkownika.
| Type: | String |
| Aliases: | Email, UserPrincipalName |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
Dane wejściowe
Dane wyjściowe
Uwagi
Słowa kluczowe: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment