az role assignment

  • Başvuru

Rol atamalarını yönetme.

Komutlar

az role assignment create

Bir kullanıcı, grup veya hizmet sorumlusu için yeni bir rol ataması oluşturun.
az role assignment delete

Rol atamalarını silin.
az role assignment list

Rol atamalarını listeleme.
az role assignment list-changelogs

Rol atamaları için değişiklik günlüklerini listeleyin.
az role assignment update

Kullanıcı, grup veya hizmet sorumlusu için mevcut rol atamasını güncelleştirin.

az role assignment create

Düzenle

Bir kullanıcı, grup veya hizmet sorumlusu için yeni bir rol ataması oluşturun.

az role assignment create --role
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--resource-group]
                          [--scope]

Örnekler

Atanan için rol ataması oluşturun.

az role assignment create --assignee sp_name --role a_role

Bir atanan için açıklama ve koşul içeren rol ataması oluşturun.

az role assignment create --role "Owner" --assignee "Jhon.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Bir kullanıcı, grup veya hizmet sorumlusu için yeni bir rol ataması oluşturun. (otomatik olarak oluşturulmuş)

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role" --scope $id

Gerekli Parametreler

--role

Rol adı veya kimliği.

İsteğe Bağlı Parametreler

--assignee

Kullanıcı, grup veya hizmet sorumlusunu temsil edin. desteklenen biçim: nesne kimliği, kullanıcı oturum açma adı veya hizmet asıl adı.

--assignee-object-id

Ayrıcalıkların yetersiz olması durumunda Graph API çağrısını atlamak için '--assignee' yerine bu parametreyi kullanın. Bu parametre yalnızca kullanıcılar, gruplar, hizmet sorumluları ve yönetilen kimlikler için nesne kimlikleriyle çalışır. Yönetilen kimlikler için asıl kimliği kullanın. Hizmet sorumluları için uygulama kimliğini değil nesne kimliğini kullanın.

--assignee-principal-type

AAD Graph'ta yayılma gecikmesinden kaynaklanan hataları önlemek için --assignee-object-id ile kullanın.

kabul edilen değerler: ForeignGroup, Group, ServicePrincipal, User
--condition

Kullanıcıya izin verilebilen koşul.

--condition-version

Koşul söz diziminin sürümü. --condition ,condition-version olmadan belirtilirse, varsayılan olarak 2.0 olur.

--description

Rol atamasının açıklaması.

--resource-group -g

Bunu yalnızca rol veya atama bir kaynak grubu düzeyinde eklenmişse kullanın.

--scope

Rol atamasının veya tanımın uygulandığı kapsam; örneğin, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup veya /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment delete

Düzenle

Rol atamalarını silin.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Örnekler

Rol atamalarını silin. (otomatik olarak oluşturulmuş)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

İsteğe Bağlı Parametreler

--assignee

Kullanıcı, grup veya hizmet sorumlusunu temsil edin. desteklenen biçim: nesne kimliği, kullanıcı oturum açma adı veya hizmet asıl adı.

--ids

Boşlukla ayrılmış rol ataması kimlikleri.

--include-inherited

Üst kapsamlara uygulanan atamaları dahil edin.

--resource-group -g

Bunu yalnızca rol veya atama bir kaynak grubu düzeyinde eklenmişse kullanın.

--role

Rol adı veya kimliği.

--scope

Rol atamasının veya tanımın uygulandığı kapsam; örneğin, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup veya /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Abonelik altındaki tüm atamaları silmeye devam edin.

az role assignment list

Düzenle

Rol atamalarını listeleme.

Varsayılan olarak, yalnızca abonelik kapsamındaki atamalar görüntülenir. Kaynak veya gruba göre kapsamı belirlenmiş atamaları görüntülemek için kullanın --all.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

İsteğe Bağlı Parametreler

--all

Geçerli abonelik altındaki tüm atamaları gösterin.

--assignee

Kullanıcı, grup veya hizmet sorumlusunu temsil edin. desteklenen biçim: nesne kimliği, kullanıcı oturum açma adı veya hizmet asıl adı.

--include-classic-administrators

Abonelik klasik yöneticileri ( diğer adıyla ortak yöneticiler) için varsayılan rol atamalarını listeleyin.

kabul edilen değerler: false, true
--include-groups

Kullanıcının üye olduğu gruplara ek atamalar ekleyin (geçişli olarak).

--include-inherited

Üst kapsamlara uygulanan atamaları dahil edin.

--resource-group -g

Bunu yalnızca rol veya atama bir kaynak grubu düzeyinde eklenmişse kullanın.

--role

Rol adı veya kimliği.

--scope

Rol atamasının veya tanımın uygulandığı kapsam; örneğin, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup veya /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

az role assignment list-changelogs

Düzenle

Rol atamaları için değişiklik günlüklerini listeleyin.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

İsteğe Bağlı Parametreler

--end-time

Sorgunun %Y-%m-%dT%H:%M:%SZ biçiminde bitiş saati; örneğin, 2000-12-31T12:59:59Z. Varsayılan olarak geçerli saati kullanır.

--start-time

Sorgunun %Y-%m-%dT%H:%M:%SZ biçiminde başlangıç zamanı; örneğin, 2000-12-31T12:59:59Z. Varsayılan olarak geçerli saatten 1 saat önceye ayarlanmıştır.

az role assignment update

Düzenle

Kullanıcı, grup veya hizmet sorumlusu için mevcut rol atamasını güncelleştirin.

az role assignment update --role-assignment

Örnekler

Bir JSON dosyasından rol ataması güncelleştirme.

az role assignment update --role-assignment assignment.json

Bir JSON dizesinden rol ataması güncelleştirme. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Gerekli Parametreler

--role-assignment

Mevcut rol atamasının JSON olarak açıklaması veya JSON açıklaması içeren bir dosyanın yolu.