New-AzRoleAssignment
Przypisuje określoną rolę RBAC do określonego podmiotu zabezpieczeń w określonym zakresie.
Polecenie cmdlet może wywołać poniższy interfejs API programu Microsoft Graph zgodnie z parametrami wejściowymi:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
Zwróć uwagę, że to polecenie cmdlet będzie oznaczać ObjectType
jako Unknown
dane wyjściowe, jeśli obiekt przypisania roli nie zostanie znaleziony lub bieżące konto ma niewystarczające uprawnienia do pobrania typu obiektu.
Składnia
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Opis
Aby udzielić dostępu, użyj polecenia New-AzRoleAssignment. Dostęp jest udzielany przez przypisanie odpowiedniej roli RBAC do nich w odpowiednim zakresie. Aby udzielić dostępu do całej subskrypcji, przypisz rolę w zakresie subskrypcji. Aby udzielić dostępu do określonej grupy zasobów w ramach subskrypcji, przypisz rolę w zakresie grupy zasobów. Należy określić temat przypisania. Aby określić użytkownika, użyj parametrów SignInName lub Microsoft Entra ObjectId. Aby określić grupę zabezpieczeń, użyj parametru Microsoft Entra ObjectId. Aby określić aplikację Microsoft Entra, użyj parametrów ApplicationId lub ObjectId. Przypisaną rolę należy określić przy użyciu parametru RoleDefinitionName. Można określić zakres, w którym jest udzielany dostęp. Domyślnie jest to wybrana subskrypcja. Zakres przypisania można określić przy użyciu jednej z następujących kombinacji parametrów a. Zakres — jest to w pełni kwalifikowany zakres rozpoczynający się od /subscriptions/<subscriptionId> b. ResourceGroupName — aby udzielić dostępu do określonej grupy zasobów. c. ResourceName, ResourceType, ResourceGroupName i (opcjonalnie) ParentResource — aby określić określony zasób w grupie zasobów w celu udzielenia dostępu.
Przykłady
Przykład 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation
Udzielanie użytkownikowi dostępu roli czytelnika w zakresie grupy zasobów, przy czym przypisanie roli jest dostępne dla delegowania
Przykład 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1
Udzielanie dostępu do grupy zabezpieczeń
Przykład 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Udzielanie dostępu użytkownikowi w zasobie (witryna internetowa)
Przykład 4
New-AzRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network
Udzielanie dostępu do grupy w zagnieżdżonym zasobie (podsieci)
Przykład 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId
Udzielanie czytelnikowi dostępu do jednostki usługi
Parametry
-AllowDelegation
Flaga delegowania podczas tworzenia przypisania roli.
Type: | SwitchParameter |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ApplicationId
Identyfikator aplikacji elementu ServicePrincipal
Type: | String |
Aliases: | SPN, ServicePrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Condition
Warunek, który ma zostać zastosowany do przypisania roli.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ConditionVersion
Wersja warunku.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-DefaultProfile
Poświadczenia, konto, dzierżawa i subskrypcja używane do komunikacji z platformą Azure
Type: | IAzureContextContainer |
Aliases: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Description
Krótki opis przypisania roli.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-InputFile
Ścieżka do pliku json przypisania roli
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ObjectId
Microsoft Entra Objectid użytkownika, grupy lub jednostki usługi.
Type: | String |
Aliases: | Id, PrincipalId |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ObjectType
Do użycia z ObjectId. Określa typ obiektu asignee
Type: | String |
Aliases: | PrincipalType |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ParentResource
Zasób nadrzędny w hierarchii (zasobu określonego przy użyciu parametru ResourceName). Należy używać tylko w połączeniu z parametrami ResourceGroupName, ResourceType i ResourceName, aby utworzyć zakres hierarchiczny w postaci względnego identyfikatora URI identyfikującego zasób.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceGroupName
Nazwa grupy zasobów. Tworzy przypisanie obowiązujące w określonej grupie zasobów. W połączeniu z parametrami ResourceName, ResourceType i (opcjonalnie)ParentResource polecenie tworzy hierarchiczny zakres w postaci względnego identyfikatora URI identyfikującego zasób.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceName
Nazwa zasobu. Na przykład storageaccountprod. Powinny być używane tylko w połączeniu z ResourceGroupName, ResourceType i (opcjonalnie)Parametry ParentResource do konstruowania zakresu hierarchicznego w postaci względnego identyfikatora URI identyfikującego zasób.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceType
Typ zasobu. Na przykład Microsoft.Network/virtualNetworks. Powinny być używane tylko w połączeniu z ResourceGroupName, ResourceName i (opcjonalnie)Parametry ParentResource do konstruowania zakresu hierarchicznego w postaci względnego identyfikatora URI identyfikującego zasób.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionId
Identyfikator roli RBAC, która musi być przypisana do podmiotu zabezpieczeń.
Type: | Guid |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionName
Nazwa roli RBAC, która musi być przypisana do podmiotu zabezpieczeń, np. Czytelnik, Współautor, Administracja istrator sieci wirtualnej itp.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Scope
Zakres przypisania roli. W formacie względnego identyfikatora URI. Na przykład "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Jeśli nie zostanie określony, utworzy przypisanie roli na poziomie subskrypcji. Jeśli zostanie określony, powinien on rozpoczynać się od ciągu "/subscriptions/{id}".
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SignInName
Adres e-mail lub główna nazwa użytkownika użytkownika.
Type: | String |
Aliases: | Email, UserPrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SkipClientSideScopeValidation
Jeśli zostanie określony, pomiń walidację zakresu po stronie klienta.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Dane wejściowe
Dane wyjściowe
Uwagi
Słowa kluczowe: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment