New-AzRoleAssignment

Moduł:

Az.Resources

Przypisuje określoną rolę RBAC do określonego podmiotu zabezpieczeń w określonym zakresie.

Polecenie cmdlet może wywołać poniższy interfejs API programu Microsoft Graph zgodnie z parametrami wejściowymi:

• GET /users/{id}
• GET /servicePrincipals/{id}
• GET /groups/{id}
• GET /directoryObjects/{id}

Zwróć uwagę, że to polecenie cmdlet będzie oznaczać ObjectType jako Unknown dane wyjściowe, jeśli obiekt przypisania roli nie zostanie znaleziony lub bieżące konto ma niewystarczające uprawnienia do pobrania typu obiektu.

Składnia

New-AzRoleAssignment
   -ObjectId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ObjectId <String>
   -Scope <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -InputFile <String>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Opis

Aby udzielić dostępu, użyj polecenia New-AzRoleAssignment. Dostęp jest udzielany przez przypisanie odpowiedniej roli RBAC do nich w odpowiednim zakresie. Aby udzielić dostępu do całej subskrypcji, przypisz rolę w zakresie subskrypcji. Aby udzielić dostępu do określonej grupy zasobów w ramach subskrypcji, przypisz rolę w zakresie grupy zasobów. Należy określić temat przypisania. Aby określić użytkownika, użyj parametrów SignInName lub Microsoft Entra ObjectId. Aby określić grupę zabezpieczeń, użyj parametru Microsoft Entra ObjectId. Aby określić aplikację Microsoft Entra, użyj parametrów ApplicationId lub ObjectId. Przypisaną rolę należy określić przy użyciu parametru RoleDefinitionName. Można określić zakres, w którym jest udzielany dostęp. Domyślnie jest to wybrana subskrypcja. Zakres przypisania można określić przy użyciu jednej z następujących kombinacji parametrów a. Zakres — jest to w pełni kwalifikowany zakres rozpoczynający się od /subscriptions/<subscriptionId> b. ResourceGroupName — aby udzielić dostępu do określonej grupy zasobów. c. ResourceName, ResourceType, ResourceGroupName i (opcjonalnie) ParentResource — aby określić określony zasób w grupie zasobów w celu udzielenia dostępu.

Przykłady

Przykład 1

New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

Udzielanie użytkownikowi dostępu roli czytelnika w zakresie grupy zasobów, przy czym przypisanie roli jest dostępne dla delegowania

Przykład 2

Get-AzADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb

New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor  -ResourceGroupName rg1

Udzielanie dostępu do grupy zabezpieczeń

Przykład 3

New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Udzielanie dostępu użytkownikowi w zasobie (witryna internetowa)

Przykład 4

New-AzRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

Udzielanie dostępu do grupy w zagnieżdżonym zasobie (podsieci)

Przykład 5

$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

Udzielanie czytelnikowi dostępu do jednostki usługi

Parametry

-AllowDelegation

Flaga delegowania podczas tworzenia przypisania roli.

Type:	SwitchParameter
Position:	Named
Default value:	False
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-ApplicationId

Identyfikator aplikacji elementu ServicePrincipal

Type:	String
Aliases:	SPN, ServicePrincipalName
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-Condition

Warunek, który ma zostać zastosowany do przypisania roli.

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	True
Accept wildcard characters:	False

-ConditionVersion

Wersja warunku.

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	True
Accept wildcard characters:	False

-DefaultProfile

Poświadczenia, konto, dzierżawa i subskrypcja używane do komunikacji z platformą Azure

Type:	IAzureContextContainer
Aliases:	AzContext, AzureRmContext, AzureCredential
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

-Description

Krótki opis przypisania roli.

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	True
Accept wildcard characters:	False

-InputFile

Ścieżka do pliku json przypisania roli

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-ObjectId

Microsoft Entra Objectid użytkownika, grupy lub jednostki usługi.

Type:	String
Aliases:	Id, PrincipalId
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-ObjectType

Do użycia z ObjectId. Określa typ obiektu asignee

Type:	String
Aliases:	PrincipalType
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	True
Accept wildcard characters:	False

-ParentResource

Zasób nadrzędny w hierarchii (zasobu określonego przy użyciu parametru ResourceName). Należy używać tylko w połączeniu z parametrami ResourceGroupName, ResourceType i ResourceName, aby utworzyć zakres hierarchiczny w postaci względnego identyfikatora URI identyfikującego zasób.

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	True
Accept wildcard characters:	False

-ResourceGroupName

Nazwa grupy zasobów. Tworzy przypisanie obowiązujące w określonej grupie zasobów. W połączeniu z parametrami ResourceName, ResourceType i (opcjonalnie)ParentResource polecenie tworzy hierarchiczny zakres w postaci względnego identyfikatora URI identyfikującego zasób.

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-ResourceName

Nazwa zasobu. Na przykład storageaccountprod. Powinny być używane tylko w połączeniu z ResourceGroupName, ResourceType i (opcjonalnie)Parametry ParentResource do konstruowania zakresu hierarchicznego w postaci względnego identyfikatora URI identyfikującego zasób.

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-ResourceType

Typ zasobu. Na przykład Microsoft.Network/virtualNetworks. Powinny być używane tylko w połączeniu z ResourceGroupName, ResourceName i (opcjonalnie)Parametry ParentResource do konstruowania zakresu hierarchicznego w postaci względnego identyfikatora URI identyfikującego zasób.

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-RoleDefinitionId

Identyfikator roli RBAC, która musi być przypisana do podmiotu zabezpieczeń.

Type:	Guid
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-RoleDefinitionName

Nazwa roli RBAC, która musi być przypisana do podmiotu zabezpieczeń, np. Czytelnik, Współautor, Administracja istrator sieci wirtualnej itp.

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-Scope

Zakres przypisania roli. W formacie względnego identyfikatora URI. Na przykład "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Jeśli nie zostanie określony, utworzy przypisanie roli na poziomie subskrypcji. Jeśli zostanie określony, powinien on rozpoczynać się od ciągu "/subscriptions/{id}".

Type:	String
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-SignInName

Adres e-mail lub główna nazwa użytkownika użytkownika.

Type:	String
Aliases:	Email, UserPrincipalName
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False

-SkipClientSideScopeValidation

Jeśli zostanie określony, pomiń walidację zakresu po stronie klienta.

Type:	SwitchParameter
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False

Dane wejściowe

String

Guid

Dane wyjściowe

PSRoleAssignment

Uwagi

Słowa kluczowe: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment

Linki powiązane

• Get-AzRoleAssignment
• Remove-AzRoleAssignment
• Get-AzRoleDefinition