az role assignment
Gestire le assegnazioni di ruolo.
Comandi
| Nome | Descrizione | Tipo | Status |
|---|---|---|---|
| az role assignment create |
Crea una nuova assegnazione di ruolo per un utente, un gruppo o un'entità servizio. |
Nucleo | GA |
| az role assignment delete |
Eliminare le assegnazioni di ruolo. |
Nucleo | GA |
| az role assignment list |
Elencare le assegnazioni di ruolo. |
Nucleo | GA |
| az role assignment list-changelogs |
Elencare i log delle modifiche per le assegnazioni di ruolo. |
Nucleo | GA |
| az role assignment update |
Aggiornare un'assegnazione di ruolo esistente per un utente, un gruppo o un'entità servizio. |
Nucleo | GA |
az role assignment create
Crea una nuova assegnazione di ruolo per un utente, un gruppo o un'entità servizio.
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]Esempio
Creare un'assegnazione di ruolo per concedere all'assegnatario specificato il ruolo Lettore in una macchina virtuale di Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVmCreare un'assegnazione di ruolo per un assegnatario con descrizione e condizione.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "[email protected]" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"Creare un'assegnazione di ruolo con il proprio nome di assegnazione.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000Parametri necessari
Nome o ID del ruolo.
Ambito a cui si applica l'assegnazione o la definizione di ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Parametri facoltativi
Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome di accesso utente o nome dell'entità servizio.
L'ID oggetto dell'assegnatario (noto anche come ID principale). Utilizzare questo argomento invece di '--assignee' per ignorare la query di Microsoft Graph nel caso in cui l'account connesso non disponga di autorizzazioni o la macchina non disponga dell'accesso alla rete per eseguire query su Microsoft Graph.
Usare con --assignee-object-id per evitare errori causati dalla latenza di propagazione in Microsoft Graph.
Condizione con cui l'utente può essere concessa l'autorizzazione.
Versione della sintassi della condizione. Se --condition viene specificato senza --condition-version, il valore predefinito è 2.0.
Descrizione dell'assegnazione di ruolo.
GUID per l'assegnazione di ruolo. Deve essere univoco e diverso per ogni assegnazione di ruolo. Se omesso, viene generato un nuovo GUID.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az role assignment delete
Eliminare le assegnazioni di ruolo.
Questo comando elimina tutte le assegnazioni di ruolo che soddisfano la condizione di query specificata. Prima di eseguire questo comando, è consigliabile eseguire az role assignment list prima con gli stessi argomenti per vedere quali assegnazioni di ruolo verranno eliminate.
az role assignment delete [--assignee]
[--assignee-object-id]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]Esempio
Eliminare tutte le assegnazioni di ruolo con il ruolo "Lettore" nell'ambito della sottoscrizione.
az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Eliminare tutte le assegnazioni di ruolo di un assegnatario nell'ambito della sottoscrizione.
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Eliminare tutte le assegnazioni di ruolo di un assegnatario (con il relativo ID oggetto) nell'ambito della sottoscrizione.
az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Parametri facoltativi
Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome di accesso utente o nome dell'entità servizio.
L'ID oggetto dell'assegnatario (noto anche come ID principale). Utilizzare questo argomento invece di '--assignee' per ignorare la query di Microsoft Graph nel caso in cui l'account connesso non disponga di autorizzazioni o la macchina non disponga dell'accesso alla rete per eseguire query su Microsoft Graph.
ID assegnazione di ruolo separati da spazi.
Includere le assegnazioni applicate agli ambiti padre.
Usarlo solo se il ruolo o l'assegnazione è stato aggiunto al livello di un gruppo di risorse.
Nome o ID del ruolo.
Ambito a cui si applica l'assegnazione o la definizione di ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Attualmente no-op.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az role assignment list
Elencare le assegnazioni di ruolo.
Per impostazione predefinita, verranno visualizzate solo le assegnazioni che rientrano nell'ambito della sottoscrizione. Per visualizzare le assegnazioni che rientrano nell'ambito della risorsa o del gruppo, usare --all.
[AVVISO] Gli amministratori delle sottoscrizioni classiche di Azure verranno ritirati il 31 agosto 2024. Dopo il 31 agosto 2024, tutti gli amministratori classici rischiano di perdere l'accesso alla sottoscrizione. Eliminare gli amministratori classici che non hanno più bisogno di accesso o assegnare un ruolo controllo degli accessi in base al ruolo di Azure per il controllo degli accessi con granularità fine. Altre informazioni: https://go.microsoft.com/fwlink/?linkid=2238474
az role assignment list [--all]
[--assignee]
[--assignee-object-id]
[--fill-principal-name {false, true}]
[--fill-role-definition-name {false, true}]
[--include-classic-administrators {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]Esempio
Elencare le assegnazioni di ruolo nell'ambito della sottoscrizione.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000Elencare le assegnazioni di ruolo nell'ambito della sottoscrizione, senza compilare la proprietà roleDefinitionName.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name falseElencare le assegnazioni di ruolo con il ruolo "Lettore" nell'ambito della sottoscrizione.
az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Elencare le assegnazioni di ruolo di un assegnatario nell'ambito della sottoscrizione.
az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Elencare le assegnazioni di ruolo di un assegnatario (con il relativo ID oggetto) nell'ambito della sottoscrizione, senza compilare la proprietà principalName. Questo comando non esegue query su Microsoft Graph.
az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name falseParametri facoltativi
Mostra tutte le assegnazioni nella sottoscrizione corrente.
Rappresentare un utente, un gruppo o un'entità servizio. formato supportato: ID oggetto, nome di accesso utente o nome dell'entità servizio.
L'ID oggetto dell'assegnatario (noto anche come ID principale). Utilizzare questo argomento invece di '--assignee' per ignorare la query di Microsoft Graph nel caso in cui l'account connesso non disponga di autorizzazioni o la macchina non disponga dell'accesso alla rete per eseguire query su Microsoft Graph.
Eseguire una query su Microsoft Graph per ottenere userPrincipalName (per l'utente), servicePrincipalNames (per l'entità servizio) o displayName (per il gruppo) dell'assegnatario, quindi compilare la proprietà principalName con esso. Se l'account connesso non dispone di autorizzazioni o il computer non ha accesso alla rete per eseguire query su Microsoft Graph, impostare questo flag su false per evitare avvisi o errori.
Compila la proprietà roleDefinitionName oltre a roleDefinitionId. Questa operazione è costosa. Se si verificano problemi di prestazioni, impostare questo flag su false.
L'argomento '--include-classic-administrators' è stato deprecato e verrà rimosso nella versione di modifica di rilievo successiva (2.73.0) pianificata per maggio 2025.
Elencare le assegnazioni di ruolo predefinite per gli amministratori classici della sottoscrizione, noti anche come coamministratori.
Includi assegnazioni extra ai gruppi di cui l'utente è membro (transitivamente).
Includere le assegnazioni applicate agli ambiti padre.
Usarlo solo se il ruolo o l'assegnazione è stato aggiunto al livello di un gruppo di risorse.
Nome o ID del ruolo.
Ambito a cui si applica l'assegnazione o la definizione di ruolo, ad esempio /subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup o /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az role assignment list-changelogs
Elencare i log delle modifiche per le assegnazioni di ruolo.
az role assignment list-changelogs [--end-time]
[--start-time]Parametri facoltativi
Ora di fine della query nel formato %Y-%m-%dT%H:%M:%SZ, ad esempio 2000-12-31T12:59:59Z. Il valore predefinito è l'ora corrente.
Ora di inizio della query nel formato %Y-%m-%dT%H:%M:%SZ, ad esempio 2000-12-31T12:59:59Z. Il valore predefinito è 1 ora prima dell'ora corrente.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az role assignment update
Aggiornare un'assegnazione di ruolo esistente per un utente, un gruppo o un'entità servizio.
az role assignment update --role-assignmentEsempio
Aggiornare un'assegnazione di ruolo da un file JSON.
az role assignment update --role-assignment assignment.jsonAggiornare un'assegnazione di ruolo da una stringa JSON. (Colpire)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'Parametri necessari
Descrizione di un'assegnazione di ruolo esistente come JSON o percorso di un file contenente una descrizione JSON.
Parametri globali
Aumentare la verbosità dei log per visualizzare tutti i log di debug.
Mostra questo messaggio Guida, esci.
Mostra solo gli errori, eliminando gli avvisi.
Formato dell'output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.
Aumentare il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
