az role assignment
Управление назначениями ролей.
Команды
Имя | Описание | Тип | Состояние |
---|---|---|---|
az role assignment create |
Создайте новое назначение роли для пользователя, группы или субъекта-службы. |
Основные сведения | Общедоступная версия |
az role assignment delete |
Удаление назначений ролей. |
Основные сведения | Общедоступная версия |
az role assignment list |
Вывод списка назначений ролей. |
Основные сведения | Общедоступная версия |
az role assignment list-changelogs |
Список журналов изменений для назначений ролей. |
Основные сведения | Общедоступная версия |
az role assignment update |
Обновите существующее назначение ролей для пользователя, группы или субъекта-службы. |
Основные сведения | Общедоступная версия |
az role assignment create
Создайте новое назначение роли для пользователя, группы или субъекта-службы.
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]
Примеры
Создайте назначение ролей для предоставления указанной роли читателя на виртуальной машине Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm
Создайте назначение ролей для назначаемого с описанием и условием.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "[email protected]" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"
Создайте назначение ролей с собственным именем назначения.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000
Обязательные параметры
Имя роли или идентификатор.
Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Необязательные параметры
Представляет пользователя, группу или субъект-службу. поддерживаемый формат: идентификатор объекта, имя входа пользователя или имя субъекта-службы.
Используйте этот параметр вместо "--assignee" для обхода вызова API Graph в случае нехватки привилегий. Этот параметр работает только с идентификаторами объектов для пользователей, групп, субъектов-служб и управляемых удостоверений. Для управляемых удостоверений используется идентификатор субъекта. Для субъектов-служб используйте идентификатор объекта, а не идентификатор приложения.
Используйте с идентификатором --assignee-object-id, чтобы избежать ошибок, вызванных задержкой распространения в Microsoft Graph.
Условие, при котором пользователю может быть предоставлено разрешение.
Версия синтаксиса условия. Если условие указано без --condition-version, по умолчанию — 2.0.
Описание назначения ролей.
GUID для назначения роли. Он должен быть уникальным и разными для каждого назначения роли. Если опущено, новый GUID будет генеретирован.
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
Отображение этого справочного сообщения и выход.
Показывать только ошибки, блокируя предупреждения.
Формат вывода.
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID
.
Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
az role assignment delete
Удаление назначений ролей.
az role assignment delete [--assignee]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]
Примеры
Удаление назначений ролей. (автоматическое создание)
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"
Необязательные параметры
Представляет пользователя, группу или субъект-службу. поддерживаемый формат: идентификатор объекта, имя входа пользователя или имя субъекта-службы.
Идентификаторы назначения ролей, разделенные пробелами.
Включите назначения, применяемые к родительским областям.
Используйте его только в том случае, если роль или назначение было добавлено на уровне группы ресурсов.
Имя роли или идентификатор.
Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Продолжайте удалять все назначения в подписке.
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
Отображение этого справочного сообщения и выход.
Показывать только ошибки, блокируя предупреждения.
Формат вывода.
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID
.
Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
az role assignment list
Вывод списка назначений ролей.
По умолчанию отображаются только назначения в пределах подписки. Чтобы просмотреть назначения в пределах ресурсов или группы, используйте --all
.
[ПРЕДУПРЕЖДЕНИЕ] Администраторы классической подписки Azure отставят 31 августа 2024 года. После 31 августа 2024 г. все классические администраторы рискуют потерять доступ к подписке. Удаление классических администраторов, которым больше не нужен доступ или назначение роли Azure RBAC для точного управления доступом. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2238474.
az role assignment list [--all]
[--assignee]
[--include-classic-administrators {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
Необязательные параметры
Отображение всех назначений в текущей подписке.
Представляет пользователя, группу или субъект-службу. поддерживаемый формат: идентификатор объекта, имя входа пользователя или имя субъекта-службы.
Параметр "--include-classic-administrators" устарел и будет удален в будущем выпуске.
Вывод списка назначений ролей по умолчанию для классических администраторов подписки, ака соадминистраторов.
Включите дополнительные назначения в группы, из которых пользователь является членом (транзитивно).
Включите назначения, применяемые к родительским областям.
Используйте его только в том случае, если роль или назначение было добавлено на уровне группы ресурсов.
Имя роли или идентификатор.
Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
Отображение этого справочного сообщения и выход.
Показывать только ошибки, блокируя предупреждения.
Формат вывода.
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID
.
Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
az role assignment list-changelogs
Список журналов изменений для назначений ролей.
az role assignment list-changelogs [--end-time]
[--start-time]
Необязательные параметры
Время окончания запроса в формате %Y-%m-%dT%H:%M:%SZ, например 2000-12-31T12:59:59Z. По умолчанию используется текущее время.
Время начала запроса в формате %Y-%m-%dT%H:%M:%SZ, например 2000-12-31T12:59:59Z. Значение по умолчанию — 1 час до текущего времени.
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
Отображение этого справочного сообщения и выход.
Показывать только ошибки, блокируя предупреждения.
Формат вывода.
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID
.
Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.
az role assignment update
Обновите существующее назначение ролей для пользователя, группы или субъекта-службы.
az role assignment update --role-assignment
Примеры
Обновите назначение ролей из JSON-файла.
az role assignment update --role-assignment assignment.json
Обновите назначение ролей из строки JSON. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'
Обязательные параметры
Описание существующего назначения роли в формате JSON или путь к файлу, содержащему описание JSON.
Глобальные параметры
Повышение уровня детализации журнала для включения всех журналов отладки.
Отображение этого справочного сообщения и выход.
Показывать только ошибки, блокируя предупреждения.
Формат вывода.
Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.
Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID
.
Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.