az role assignment
Verwalten von Rollenzuweisungen.
Befehle
| Name | Beschreibung | Typ | Status |
|---|---|---|---|
| az role assignment create |
Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal. |
Core | GA |
| az role assignment delete |
Rollenzuweisungen löschen. |
Core | GA |
| az role assignment list |
Listen Sie die Rollenzuweisungen auf: |
Core | GA |
| az role assignment list-changelogs |
Listet Änderungsprotokollen für Rollenzuweisungen auf. |
Core | GA |
| az role assignment update |
Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal. |
Core | GA |
az role assignment create
Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.
az role assignment create --role
--scope
[--acquire-policy-token]
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--change-reference]
[--condition]
[--condition-version]
[--description]
[--name]Beispiele
Erstellen Sie eine Rollenzuweisung, um dem angegebenen Zugewiesenen die Reader-Rolle auf einem Azure virtuellen Computer zu gewähren.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVmErstellen Sie eine Rollenzuweisung für einen Zugewiesenen mit Beschreibung und Bedingung.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"Erstellen Sie eine Rollenzuweisung mit Ihrem eigenen Aufgabennamen.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000Erforderliche Parameter
Rollenname oder ID.
Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups/myGroup, or /subscriptions/0b1f6471-1bf0-4dda-aec3-11122222223333/resourceGroups/myGroup/providers/Microsoft. Compute/virtualMachines/myVM.
Optionale Parameter
Die folgenden Parameter sind optional, aber je nach Kontext kann mindestens ein Parameter erforderlich sein, damit der Befehl erfolgreich ausgeführt werden kann.
Automatisches Abrufen eines Azure Policy Tokens für diesen Ressourcenvorgang.
| Eigenschaft | Wert |
|---|---|
| Parametergruppe: | Global Policy Arguments |
Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.
Die Objekt-ID des Beauftragten (auch als Prinzipal-ID bezeichnet). Verwenden Sie dieses Argument anstelle von "--assignee", um Microsoft Graph Abfrage zu umgehen, falls das angemeldete Konto keine Berechtigung hat oder der Computer keinen Netzwerkzugriff auf abfragen Microsoft Graph hat.
Verwenden Sie mit "-assignee-object-id", um Fehler zu vermeiden, die durch die Verteilungslatenz in Microsoft Graph verursacht werden.
| Eigenschaft | Wert |
|---|---|
| Zulässige Werte: | ForeignGroup, Group, ServicePrincipal, User |
Die zugehörige Änderungsreferenz-ID für diesen Ressourcenvorgang.
| Eigenschaft | Wert |
|---|---|
| Parametergruppe: | Global Policy Arguments |
Hierbei handelt es sich um die Bedingung, unter der dem Benutzer die Berechtigung erteilt werden kann.
Hierbei handelt es sich um die Version der Bedingungssyntax. Wenn --condition ohne --condition-version angegeben wird, wird standardmäßig 2.0 verwendet.
Beschreibung der Rollenzuweisung.
Eine GUID für die Rollenzuweisung. Sie muss für jede Rollenzuweisung eindeutig und unterschiedlich sein. Wenn diese Angabe weggelassen wird, wird eine neue GUID generiert.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Ausgabeformat.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | json |
| Zulässige Werte: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
az role assignment delete
Rollenzuweisungen löschen.
Mit diesem Befehl werden alle Rollenzuweisungen gelöscht, die die bereitgestellte Abfragebedingung erfüllen. Vor dem Ausführen dieses Befehls wird dringend empfohlen, az role assignment list zuerst mit denselben Argumenten auszuführen, um festzustellen, welche Rollenzuweisungen gelöscht werden.
az role assignment delete [--acquire-policy-token]
[--assignee]
[--assignee-object-id]
[--change-reference]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]Beispiele
Löschen Sie alle Rollenzuweisungen mit der Rolle "Leser" im Abonnementbereich.
az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Löschen Sie alle Rollenzuweisungen eines Zugewiesenen im Abonnementbereich.
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Löschen Sie alle Rollenzuweisungen eines Beauftragten (mit seiner Objekt-ID) auf Abonnementebene.
az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Optionale Parameter
Die folgenden Parameter sind optional, aber je nach Kontext kann mindestens ein Parameter erforderlich sein, damit der Befehl erfolgreich ausgeführt werden kann.
Automatisches Abrufen eines Azure Policy Tokens für diesen Ressourcenvorgang.
| Eigenschaft | Wert |
|---|---|
| Parametergruppe: | Global Policy Arguments |
Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.
Die Objekt-ID des Beauftragten (auch als Prinzipal-ID bezeichnet). Verwenden Sie dieses Argument anstelle von "--assignee", um Microsoft Graph Abfrage zu umgehen, falls das angemeldete Konto keine Berechtigung hat oder der Computer keinen Netzwerkzugriff auf abfragen Microsoft Graph hat.
Die zugehörige Änderungsreferenz-ID für diesen Ressourcenvorgang.
| Eigenschaft | Wert |
|---|---|
| Parametergruppe: | Global Policy Arguments |
Leerzeichen getrennte Rollenzuweisungs-IDs.
Zuweisungen einschließen, die auf übergeordnete Bereiche angewendet werden.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Verwenden Sie sie nur, wenn die Rolle oder Zuordnung auf der Ebene einer Ressourcengruppe hinzugefügt wurde.
Rollenname oder ID.
Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups/myGroup, or /subscriptions/0b1f6471-1bf0-4dda-aec3-11122222223333/resourceGroups/myGroup/providers/Microsoft. Compute/virtualMachines/myVM.
Derzeit no-op.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Ausgabeformat.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | json |
| Zulässige Werte: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
az role assignment list
Listen Sie die Rollenzuweisungen auf:
Standardmäßig werden nur Zuweisungen im Abonnementkontext angezeigt. Zum Anzeigen von Zuweisungen im Ressourcen- oder Gruppenkontext verwenden Sie --all.
az role assignment list [--all]
[--assignee]
[--assignee-object-id]
[--fill-principal-name {false, true}]
[--fill-role-definition-name {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]Beispiele
Auflisten von Rollenzuweisungen im Abonnementbereich.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000Listen Sie Rollenzuweisungen im Abonnementbereich auf, ohne die roleDefinitionName-Eigenschaft auszufüllen.
az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name falseListen Sie Rollenzuweisungen mit der Rolle "Leser" auf Abonnementebene auf.
az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Auflisten der Rollenzuweisungen eines Beauftragten auf Abonnementebene.
az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Auflisten der Rollenzuweisungen eines Beauftragten (mit seiner Objekt-ID) im Abonnementbereich, ohne die principalName-Eigenschaft auszufüllen. Dieser Befehl fragt keine Microsoft Graph ab.
az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name falseOptionale Parameter
Die folgenden Parameter sind optional, aber je nach Kontext kann mindestens ein Parameter erforderlich sein, damit der Befehl erfolgreich ausgeführt werden kann.
Alle Zuordnungen unter dem aktuellen Abonnement anzeigen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.
Die Objekt-ID des Beauftragten (auch als Prinzipal-ID bezeichnet). Verwenden Sie dieses Argument anstelle von "--assignee", um Microsoft Graph Abfrage zu umgehen, falls das angemeldete Konto keine Berechtigung hat oder der Computer keinen Netzwerkzugriff auf abfragen Microsoft Graph hat.
Abfrage Microsoft Graph, um den userPrincipalName (für Benutzer), servicePrincipalNames (für den Dienstprinzipal) oder displayName (für Gruppe) abzurufen, und füllen Sie dann die principalName-Eigenschaft damit aus. Wenn das angemeldete Konto keine Berechtigung hat oder der Computer keinen Netzwerkzugriff auf abfragen Microsoft Graph hat, legen Sie dieses Kennzeichen auf "false" fest, um Warnungen oder Fehler zu vermeiden.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | True |
| Zulässige Werte: | false, true |
Füllen Sie die roleDefinitionName-Eigenschaft zusätzlich zu roleDefinitionId aus. Dieser Vorgang ist teuer. Wenn ein Leistungsproblem auftritt, legen Sie dieses Flag auf false fest.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | True |
| Zulässige Werte: | false, true |
Fügen Sie den Gruppen, in denen der Benutzer Mitglied ist, zusätzliche Zuweisungen hinzu (transitiv).
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Zuweisungen einschließen, die auf übergeordnete Bereiche angewendet werden.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Verwenden Sie sie nur, wenn die Rolle oder Zuordnung auf der Ebene einer Ressourcengruppe hinzugefügt wurde.
Rollenname oder ID.
Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroups/myGroup, or /subscriptions/0b1f6471-1bf0-4dda-aec3-11122222223333/resourceGroups/myGroup/providers/Microsoft. Compute/virtualMachines/myVM.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Ausgabeformat.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | json |
| Zulässige Werte: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
az role assignment list-changelogs
Listet Änderungsprotokollen für Rollenzuweisungen auf.
az role assignment list-changelogs [--acquire-policy-token]
[--change-reference]
[--end-time]
[--start-time]Optionale Parameter
Die folgenden Parameter sind optional, aber je nach Kontext kann mindestens ein Parameter erforderlich sein, damit der Befehl erfolgreich ausgeführt werden kann.
Automatisches Abrufen eines Azure Policy Tokens für diesen Ressourcenvorgang.
| Eigenschaft | Wert |
|---|---|
| Parametergruppe: | Global Policy Arguments |
Die zugehörige Änderungsreferenz-ID für diesen Ressourcenvorgang.
| Eigenschaft | Wert |
|---|---|
| Parametergruppe: | Global Policy Arguments |
Die Endzeit der Abfrage im Format %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Der Standardwert ist die aktuelle Uhrzeit.
Die Startzeit der Abfrage im Format %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Der Standardwert ist 1 Stunde vor der aktuellen Uhrzeit.
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Ausgabeformat.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | json |
| Zulässige Werte: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
az role assignment update
Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.
az role assignment update --role-assignment
[--acquire-policy-token]
[--change-reference]Beispiele
Aktualisieren sie eine Rollenzuweisung aus einer JSON-Datei.
az role assignment update --role-assignment assignment.jsonAktualisieren sie eine Rollenzuweisung aus einer JSON-Zeichenfolge. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'Erforderliche Parameter
Beschreibung einer vorhandenen Rollenzuweisung als JSON oder ein Pfad zu einer Datei, die eine JSON-Beschreibung enthält.
Optionale Parameter
Die folgenden Parameter sind optional, aber je nach Kontext kann mindestens ein Parameter erforderlich sein, damit der Befehl erfolgreich ausgeführt werden kann.
Automatisches Abrufen eines Azure Policy Tokens für diesen Ressourcenvorgang.
| Eigenschaft | Wert |
|---|---|
| Parametergruppe: | Global Policy Arguments |
Die zugehörige Änderungsreferenz-ID für diesen Ressourcenvorgang.
| Eigenschaft | Wert |
|---|---|
| Parametergruppe: | Global Policy Arguments |
Globale Parameter
Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Diese Hilfemeldung anzeigen und schließen.
Nur Fehler anzeigen, Warnungen unterdrücken.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
Ausgabeformat.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | json |
| Zulässige Werte: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.
Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.
| Eigenschaft | Wert |
|---|---|
| Standardwert: | False |
