az role assignment
Zarządzanie przypisaniami ról.
Polecenia
| Nazwa | Opis | Typ | Stan |
|---|---|---|---|
| az role assignment create |
Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi. |
Core | ogólna dostępność |
| az role assignment delete |
Usuwanie przypisań ról. |
Core | ogólna dostępność |
| az role assignment list |
Wyświetlanie listy przypisań ról. |
Core | ogólna dostępność |
| az role assignment list-changelogs |
Lista dzienników zmian dla przypisań ról. |
Core | ogólna dostępność |
| az role assignment update |
Zaktualizuj istniejące przypisanie roli dla użytkownika, grupy lub jednostki usługi. |
Core | ogólna dostępność |
az role assignment create
Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi.
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]Przykłady
Utwórz przypisanie roli w celu udzielenia określonej roli czytelnika na maszynie wirtualnej platformy Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVmUtwórz przypisanie roli dla elementu przypisanego z opisem i warunkiem.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"Utwórz przypisanie roli przy użyciu własnej nazwy przypisania.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000Parametry wymagane
Nazwa roli lub identyfikator.
Zakres, w którym przypisanie lub definicja roli ma zastosowanie, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups/providers/Microsoft.Compute/virtualMachines/myVM.
Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.
Identyfikator obiektu osoby odpowiedzialnej (nazywany również identyfikatorem podmiotu zabezpieczeń). Użyj tego argumentu zamiast "--assignee", aby pominąć zapytanie programu Microsoft Graph w przypadku, gdy zalogowane konto nie ma uprawnień lub komputer nie ma dostępu do sieci do wykonywania zapytań dotyczących programu Microsoft Graph.
Użyj polecenia z --assignee-object-id, aby uniknąć błędów spowodowanych opóźnieniem propagacji w programie Microsoft Graph.
| Właściwość | Wartość |
|---|---|
| Dopuszczalne wartości: | ForeignGroup, Group, ServicePrincipal, User |
Warunek, w którym użytkownik może mieć uprawnienia.
Wersja składni warunku. Jeśli parametr --condition jest określony bez --condition-version, wartość domyślna to 2.0.
Opis przypisania roli.
Identyfikator GUID przypisania roli. Musi być unikatowa i inna dla każdego przypisania roli. W przypadku pominięcia zostanie wygenerowany nowy identyfikator GUID.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
az role assignment delete
Usuwanie przypisań ról.
To polecenie usuwa wszystkie przypisania ról, które spełniają podany warunek zapytania. Przed uruchomieniem tego polecenia zdecydowanie zaleca się uruchomienie az role assignment list najpierw z tymi samymi argumentami, aby zobaczyć, które przypisania ról zostaną usunięte.
az role assignment delete [--assignee]
[--assignee-object-id]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]Przykłady
Usuń wszystkie przypisania ról z rolą "Czytelnik" w zakresie subskrypcji.
az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Usuń wszystkie przypisania ról przydzielonego w zakresie subskrypcji.
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Usuń wszystkie przypisania ról osoby odpowiedzialnej (z jej identyfikatorem obiektu) w zakresie subskrypcji.
az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.
Identyfikator obiektu osoby odpowiedzialnej (nazywany również identyfikatorem podmiotu zabezpieczeń). Użyj tego argumentu zamiast "--assignee", aby pominąć zapytanie programu Microsoft Graph w przypadku, gdy zalogowane konto nie ma uprawnień lub komputer nie ma dostępu do sieci do wykonywania zapytań dotyczących programu Microsoft Graph.
Identyfikatory przypisania roli rozdzielone spacjami.
Uwzględnij przypisania zastosowane w zakresach nadrzędnych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Użyj go tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.
Nazwa roli lub identyfikator.
Zakres, w którym przypisanie lub definicja roli ma zastosowanie, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups/providers/Microsoft.Compute/virtualMachines/myVM.
Obecnie no-op.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
az role assignment list
Wyświetlanie listy przypisań ról.
Domyślnie będą wyświetlane tylko przypisania ograniczone do subskrypcji. Aby wyświetlić przypisania ograniczone przez zasób lub grupę, użyj polecenia --all.
az role assignment list [--all]
[--assignee]
[--assignee-object-id]
[--fill-principal-name {false, true}]
[--fill-role-definition-name {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]Przykłady
Wyświetlanie listy przypisań ról w zakresie subskrypcji.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000Wyświetlanie listy przypisań ról w zakresie subskrypcji bez wypełniania właściwości roleDefinitionName.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name falseWyświetlanie listy przypisań ról z rolą "Czytelnik" w zakresie subskrypcji.
az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Wyświetlanie listy przypisań ról osoby odpowiedzialnej w zakresie subskrypcji.
az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Wyświetlanie listy przypisań ról osoby odpowiedzialnej (z jej identyfikatorem obiektu) w zakresie subskrypcji bez wypełniania właściwości principalName. To polecenie nie wysyła zapytania do programu Microsoft Graph.
az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name falseParametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Pokaż wszystkie przypisania w ramach bieżącej subskrypcji.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.
Identyfikator obiektu osoby odpowiedzialnej (nazywany również identyfikatorem podmiotu zabezpieczeń). Użyj tego argumentu zamiast "--assignee", aby pominąć zapytanie programu Microsoft Graph w przypadku, gdy zalogowane konto nie ma uprawnień lub komputer nie ma dostępu do sieci do wykonywania zapytań dotyczących programu Microsoft Graph.
Wykonaj zapytanie dotyczące programu Microsoft Graph, aby uzyskać wartość userPrincipalName (dla użytkownika), servicePrincipalNames (dla jednostki usługi) lub displayName (dla grupy), a następnie wypełnij nią właściwość principalName. Jeśli zalogowane konto nie ma uprawnień lub komputer nie ma dostępu do sieci do wysyłania zapytań do programu Microsoft Graph, ustaw tę flagę na wartość false, aby uniknąć ostrzeżenia lub błędu.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | True |
| Dopuszczalne wartości: | false, true |
Wypełnij właściwość roleDefinitionName oprócz parametru roleDefinitionId. Ta operacja jest kosztowna. Jeśli wystąpi problem z wydajnością, ustaw tę flagę na wartość false.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | True |
| Dopuszczalne wartości: | false, true |
Dołącz dodatkowe przypisania do grup, do których należy użytkownik (przechodnio).
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Uwzględnij przypisania zastosowane w zakresach nadrzędnych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Użyj go tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.
Nazwa roli lub identyfikator.
Zakres, w którym przypisanie lub definicja roli ma zastosowanie, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup, lub /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups/providers/Microsoft.Compute/virtualMachines/myVM.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
az role assignment list-changelogs
Lista dzienników zmian dla przypisań ról.
az role assignment list-changelogs [--end-time]
[--start-time]Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Godzina zakończenia zapytania w formacie %Y-%m-%dT%H:%M:%SZ, np. 2000-12-31T12:59:59:59Z. Domyślnie jest to bieżąca godzina.
Godzina rozpoczęcia kwerendy w formacie %Y-%m-%dT%H:%M:%SZ, np. 2000-12-31T12:59:59:59Z. Wartość domyślna to 1 godzina przed bieżącą godziną.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
az role assignment update
Zaktualizuj istniejące przypisanie roli dla użytkownika, grupy lub jednostki usługi.
az role assignment update --role-assignmentPrzykłady
Aktualizowanie przypisania roli z pliku JSON.
az role assignment update --role-assignment assignment.jsonAktualizowanie przypisania roli z ciągu JSON. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'Parametry wymagane
Opis istniejącego przypisania roli jako JSON lub ścieżki do pliku zawierającego opis JSON.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
