az role assignment
Zarządzanie przypisaniami ról.
Polecenia
| Nazwa | Opis | Typ | Stan |
|---|---|---|---|
| az role assignment create |
Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi. |
Core | ogólna dostępność |
| az role assignment delete |
Usuwanie przypisań ról. |
Core | ogólna dostępność |
| az role assignment list |
Wyświetlanie listy przypisań ról. |
Core | ogólna dostępność |
| az role assignment list-changelogs |
Lista dzienników zmian dla przypisań ról. |
Core | ogólna dostępność |
| az role assignment update |
Zaktualizuj istniejące przypisanie roli dla użytkownika, grupy lub jednostki usługi. |
Core | ogólna dostępność |
az role assignment create
Tworzy nowe przypisanie roli dla użytkownika, grupy lub jednostki usługi.
az role assignment create --role
--scope
[--acquire-policy-token]
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--change-reference]
[--condition]
[--condition-version]
[--description]
[--name]Przykłady
Utwórz przypisanie roli w celu udzielenia określonej roli czytelnika na maszynie wirtualnej Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVmUtwórz przypisanie roli dla elementu przypisanego z opisem i warunkiem.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"Utwórz przypisanie roli przy użyciu własnej nazwy przypisania.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000Parametry wymagane
Nazwa roli lub identyfikator.
Zakres, w którym przypisanie lub definicja roli ma zastosowanie, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups lub /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroups/providers/Microsoft. Compute/virtualMachines/myVM.
Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Automatyczne uzyskiwanie tokenu Azure Policy dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.
Identyfikator obiektu osoby odpowiedzialnej (nazywany również identyfikatorem podmiotu zabezpieczeń). Użyj tego argumentu zamiast "--assignee", aby pominąć zapytanie Microsoft Graph w przypadku, gdy zalogowane konto nie ma uprawnień lub maszyna nie ma dostępu sieciowego do wykonywania zapytań Microsoft Graph.
Użyj polecenia z --assignee-object-id, aby uniknąć błędów spowodowanych opóźnieniem propagacji w Microsoft Graph.
| Właściwość | Wartość |
|---|---|
| Dopuszczalne wartości: | ForeignGroup, Group, ServicePrincipal, User |
Powiązany identyfikator odwołania do zmiany dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Warunek, w którym użytkownik może mieć uprawnienia.
Wersja składni warunku. Jeśli parametr --condition jest określony bez --condition-version, wartość domyślna to 2.0.
Opis przypisania roli.
Identyfikator GUID przypisania roli. Musi być unikatowa i inna dla każdego przypisania roli. W przypadku pominięcia zostanie wygenerowany nowy identyfikator GUID.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
az role assignment delete
Usuwanie przypisań ról.
To polecenie usuwa wszystkie przypisania ról, które spełniają podany warunek zapytania. Przed uruchomieniem tego polecenia zdecydowanie zaleca się uruchomienie az role assignment list najpierw z tymi samymi argumentami, aby zobaczyć, które przypisania ról zostaną usunięte.
az role assignment delete [--acquire-policy-token]
[--assignee]
[--assignee-object-id]
[--change-reference]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]Przykłady
Usuń wszystkie przypisania ról z rolą "Czytelnik" w zakresie subskrypcji.
az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Usuń wszystkie przypisania ról przydzielonego w zakresie subskrypcji.
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Usuń wszystkie przypisania ról osoby odpowiedzialnej (z jej identyfikatorem obiektu) w zakresie subskrypcji.
az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Automatyczne uzyskiwanie tokenu Azure Policy dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.
Identyfikator obiektu osoby odpowiedzialnej (nazywany również identyfikatorem podmiotu zabezpieczeń). Użyj tego argumentu zamiast "--assignee", aby pominąć zapytanie Microsoft Graph w przypadku, gdy zalogowane konto nie ma uprawnień lub maszyna nie ma dostępu sieciowego do wykonywania zapytań Microsoft Graph.
Powiązany identyfikator odwołania do zmiany dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Identyfikatory przypisania roli rozdzielone spacjami.
Uwzględnij przypisania zastosowane w zakresach nadrzędnych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Użyj go tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.
Nazwa roli lub identyfikator.
Zakres, w którym przypisanie lub definicja roli ma zastosowanie, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups lub /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroups/providers/Microsoft. Compute/virtualMachines/myVM.
Obecnie no-op.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
az role assignment list
Wyświetlanie listy przypisań ról.
Domyślnie będą wyświetlane tylko przypisania ograniczone do subskrypcji. Aby wyświetlić przypisania ograniczone przez zasób lub grupę, użyj polecenia --all.
az role assignment list [--all]
[--assignee]
[--assignee-object-id]
[--fill-principal-name {false, true}]
[--fill-role-definition-name {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]Przykłady
Wyświetlanie listy przypisań ról w zakresie subskrypcji.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000Wyświetlanie listy przypisań ról w zakresie subskrypcji bez wypełniania właściwości roleDefinitionName.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name falseWyświetlanie listy przypisań ról z rolą "Czytelnik" w zakresie subskrypcji.
az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Wyświetlanie listy przypisań ról osoby odpowiedzialnej w zakresie subskrypcji.
az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Wyświetlanie listy przypisań ról osoby odpowiedzialnej (z jej identyfikatorem obiektu) w zakresie subskrypcji bez wypełniania właściwości principalName. To polecenie nie wykonuje zapytania Microsoft Graph.
az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name falseParametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Pokaż wszystkie przypisania w ramach bieżącej subskrypcji.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Reprezentuje użytkownika, grupę lub jednostkę usługi. obsługiwany format: identyfikator obiektu, nazwa logowania użytkownika lub nazwa główna usługi.
Identyfikator obiektu osoby odpowiedzialnej (nazywany również identyfikatorem podmiotu zabezpieczeń). Użyj tego argumentu zamiast "--assignee", aby pominąć zapytanie Microsoft Graph w przypadku, gdy zalogowane konto nie ma uprawnień lub maszyna nie ma dostępu sieciowego do wykonywania zapytań Microsoft Graph.
Wykonaj zapytanie Microsoft Graph, aby pobrać właściwość userPrincipalName (dla użytkownika), servicePrincipalNames (dla jednostki usługi) lub displayName (dla grupy), a następnie wypełnij jej właściwość principalName. Jeśli zalogowane konto nie ma uprawnień lub maszyna nie ma dostępu sieciowego do wykonywania zapytań Microsoft Graph, ustaw tę flagę na fałsz, aby uniknąć ostrzeżenia lub błędu.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | True |
| Dopuszczalne wartości: | false, true |
Wypełnij właściwość roleDefinitionName oprócz parametru roleDefinitionId. Ta operacja jest kosztowna. Jeśli wystąpi problem z wydajnością, ustaw tę flagę na wartość false.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | True |
| Dopuszczalne wartości: | false, true |
Dołącz dodatkowe przypisania do grup, do których należy użytkownik (przechodnio).
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Uwzględnij przypisania zastosowane w zakresach nadrzędnych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Użyj go tylko wtedy, gdy rola lub przypisanie zostało dodane na poziomie grupy zasobów.
Nazwa roli lub identyfikator.
Zakres, w którym przypisanie lub definicja roli ma zastosowanie, np. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups lub /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroups/providers/Microsoft. Compute/virtualMachines/myVM.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
az role assignment list-changelogs
Lista dzienników zmian dla przypisań ról.
az role assignment list-changelogs [--acquire-policy-token]
[--change-reference]
[--end-time]
[--start-time]Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Automatyczne uzyskiwanie tokenu Azure Policy dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Powiązany identyfikator odwołania do zmiany dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Godzina zakończenia zapytania w formacie %Y-%m-%dT%H:%M:%SZ, np. 2000-12-31T12:59:59:59Z. Domyślnie jest to bieżąca godzina.
Godzina rozpoczęcia kwerendy w formacie %Y-%m-%dT%H:%M:%SZ, np. 2000-12-31T12:59:59:59Z. Wartość domyślna to 1 godzina przed bieżącą godziną.
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
az role assignment update
Zaktualizuj istniejące przypisanie roli dla użytkownika, grupy lub jednostki usługi.
az role assignment update --role-assignment
[--acquire-policy-token]
[--change-reference]Przykłady
Aktualizowanie przypisania roli z pliku JSON.
az role assignment update --role-assignment assignment.jsonAktualizowanie przypisania roli z ciągu JSON. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'Parametry wymagane
Opis istniejącego przypisania roli jako JSON lub ścieżki do pliku zawierającego opis JSON.
Parametry opcjonalne
Poniższe parametry są opcjonalne, ale w zależności od kontekstu co najmniej jeden może być wymagany do pomyślnego wykonania polecenia.
Automatyczne uzyskiwanie tokenu Azure Policy dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Powiązany identyfikator odwołania do zmiany dla tej operacji zasobu.
| Właściwość | Wartość |
|---|---|
| Grupa parametrów: | Global Policy Arguments |
Parametry globalne
Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Pokaż ten komunikat pomocy i zakończ pracę.
Pokaż tylko błędy, pomijając ostrzeżenia.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
Format danych wyjściowych.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | json |
| Dopuszczalne wartości: | json, jsonc, none, table, tsv, yaml, yamlc |
Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.
Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu az account set -s NAME_OR_ID.
Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.
| Właściwość | Wartość |
|---|---|
| Domyślna wartość: | False |
