Поделиться через

az role assignment

  • Ссылка

Управление назначениями ролей.

Команды

Имя Описание Тип Состояние
az role assignment create

Создайте новое назначение роли для пользователя, группы или субъекта-службы.

 Ядро ГА
az role assignment delete

Удаление назначений ролей.

 Ядро ГА
az role assignment list

Вывод списка назначений ролей.

 Ядро ГА
az role assignment list-changelogs

Список журналов изменений для назначений ролей.

 Ядро ГА
az role assignment update

Обновите существующее назначение ролей для пользователя, группы или субъекта-службы.

 Ядро ГА

az role assignment create

Изменить

Создайте новое назначение роли для пользователя, группы или субъекта-службы.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Примеры

Создайте назначение ролей для предоставления указанной роли читателя на виртуальной машине Azure.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Создайте назначение ролей для назначаемого с описанием и условием.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "[email protected]" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Создайте назначение ролей с собственным именем назначения.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Обязательные параметры

--role

Имя роли или идентификатор.

--scope

Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Необязательные параметры

--assignee

Представляет пользователя, группу или субъект-службу. поддерживаемый формат: идентификатор объекта, имя входа пользователя или имя субъекта-службы.

--assignee-object-id

Используйте этот параметр вместо "--assignee" для обхода вызова API Graph в случае нехватки привилегий. Этот параметр работает только с идентификаторами объектов для пользователей, групп, субъектов-служб и управляемых удостоверений. Для управляемых удостоверений используется идентификатор субъекта. Для субъектов-служб используйте идентификатор объекта, а не идентификатор приложения.

--assignee-principal-type

Используйте с идентификатором --assignee-object-id, чтобы избежать ошибок, вызванных задержкой распространения в Microsoft Graph.

Допустимые значения: ForeignGroup, Group, ServicePrincipal, User
--condition
Предварительный просмотр

Условие, при котором пользователю может быть предоставлено разрешение.

--condition-version
Предварительный просмотр

Версия синтаксиса условия. Если условие указано без --condition-version, по умолчанию — 2.0.

--description
Предварительный просмотр

Описание назначения ролей.

--name -n

GUID для назначения роли. Он должен быть уникальным и разными для каждого назначения роли. Если опущено, создается новый GUID.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az role assignment delete

Изменить

Удаление назначений ролей.

Эта команда удаляет все назначения ролей, удовлетворяющие предоставленному условию запроса. Перед выполнением этой команды настоятельно рекомендуется запустить az role assignment list сначала с теми же аргументами, чтобы узнать, какие назначения ролей будут удалены.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Примеры

Удалите все назначения ролей с ролью читателя в области подписки.

az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Удалите все назначения ролей назначаемого в области подписки.

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Необязательные параметры

--assignee

Представляет пользователя, группу или субъект-службу. поддерживаемый формат: идентификатор объекта, имя входа пользователя или имя субъекта-службы.

--ids

Идентификаторы назначения ролей, разделенные пробелами.

--include-inherited

Включите назначения, применяемые к родительским областям.

Default value: False
--resource-group -g

Используйте его только в том случае, если роль или назначение было добавлено на уровне группы ресурсов.

--role

Имя роли или идентификатор.

--scope

Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

В настоящее время no-op.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az role assignment list

Изменить

Вывод списка назначений ролей.

По умолчанию отображаются только назначения в пределах подписки. Чтобы просмотреть назначения в пределах ресурсов или группы, используйте --all.

[ПРЕДУПРЕЖДЕНИЕ] Администраторы классической подписки Azure отставят 31 августа 2024 года. После 31 августа 2024 г. все классические администраторы рискуют потерять доступ к подписке. Удаление классических администраторов, которым больше не нужен доступ или назначение роли Azure RBAC для точного управления доступом. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2238474.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Примеры

Список всех назначений ролей с ролью читателя в области подписки.

az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Перечислите все назначения ролей назначаемого в области подписки.

az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Необязательные параметры

--all

Отображение всех назначений в текущей подписке.

Default value: False
--assignee

Представляет пользователя, группу или субъект-службу. поддерживаемый формат: идентификатор объекта, имя входа пользователя или имя субъекта-службы.

--include-classic-administrators
Не рекомендуется

Аргумент "--include-classic-administrators" устарел и будет удален в следующем критическом выпуске изменений (2.73.0), запланированном на май 2025 года.

Вывод списка назначений ролей по умолчанию для классических администраторов подписки, ака соадминистраторов.

Допустимые значения: false, true
Default value: False
--include-groups

Включите дополнительные назначения в группы, из которых пользователь является членом (транзитивно).

Default value: False
--include-inherited

Включите назначения, применяемые к родительским областям.

Default value: False
--resource-group -g

Используйте его только в том случае, если роль или назначение было добавлено на уровне группы ресурсов.

--role

Имя роли или идентификатор.

--scope

Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az role assignment list-changelogs

Изменить

Список журналов изменений для назначений ролей.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Необязательные параметры

--end-time

Время окончания запроса в формате %Y-%m-%dT%H:%M:%SZ, например 2000-12-31T12:59:59Z. По умолчанию используется текущее время.

--start-time

Время начала запроса в формате %Y-%m-%dT%H:%M:%SZ, например 2000-12-31T12:59:59Z. Значение по умолчанию — 1 час до текущего времени.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az role assignment update

Изменить

Обновите существующее назначение ролей для пользователя, группы или субъекта-службы.

az role assignment update --role-assignment

Примеры

Обновите назначение ролей из JSON-файла.

az role assignment update --role-assignment assignment.json

Обновите назначение ролей из строки JSON. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Обязательные параметры

--role-assignment

Описание существующего назначения роли в формате JSON или путь к файлу, содержащему описание JSON.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.