New-AzureRmRoleAssignment

Modul:

AzureRM.Resources

Přiřadí zadanou roli RBAC zadanému objektu zabezpečení v zadaném oboru.

Upozorňující

Modul AzureRM PowerShell je od 29. února 2024 oficiálně zastaralý. Uživatelům se doporučuje migrovat z AzureRM do modulu Az PowerShell, aby se zajistila nepřetržitá podpora a aktualizace.

I když může modul AzureRM stále fungovat, už se neudržuje ani nepodporuje, přičemž jakékoli další použití se bude umisťovat podle vlastního uvážení a rizika uživatele. Pokyny k přechodu na modul Az najdete v našich zdrojích informací o migraci.

Syntaxe

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -Scope <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -Scope <String>
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzureRmRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

K udělení přístupu použijte příkaz New-AzureRMRoleAssignment. Přístup je udělen přiřazením příslušné role RBAC k nim ve správném rozsahu. Pokud chcete udělit přístup k celému předplatnému, přiřaďte roli v oboru předplatného. Pokud chcete udělit přístup ke konkrétní skupině prostředků v rámci předplatného, přiřaďte roli v oboru skupiny prostředků. Musí být zadán předmět přiřazení. Pokud chcete zadat uživatele, použijte parametry SignInName nebo Microsoft Entra ObjectId. Pokud chcete zadat skupinu zabezpečení, použijte parametr Microsoft Entra ObjectId. A pokud chcete zadat aplikaci Microsoft Entra, použijte parametry ApplicationId nebo ObjectId. Přiřazenou roli je nutné zadat pomocí parametru RoleDefinitionName. Je možné zadat obor, na kterém se uděluje přístup. Ve výchozím nastavení se vybrané předplatné nastaví. Rozsah přiřazení lze zadat pomocí jedné z následujících kombinací parametrů a. Rozsah – jedná se o plně kvalifikovaný obor začínající na /subscriptions/<subscriptionId> b. ResourceGroupName – udělení přístupu k zadané skupině prostředků c. ResourceName, ResourceType, ResourceGroupName a (volitelně) ParentResource – pokud chcete zadat konkrétní prostředek v rámci skupiny prostředků pro udělení přístupu.

Příklady

Příklad 1

PS C:\> New-AzureRmRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

Udělení přístupu k roli Čtenář uživateli v oboru skupiny prostředků s dostupným přiřazením role pro delegování

Příklad 2

PS C:\> Get-AzureRMADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           00001111-aaaa-2222-bbbb-3333cccc4444

PS C:\> New-AzureRmRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName Contributor  -ResourceGroupName rg1

Udělení přístupu ke skupině zabezpečení

Příklad 3

PS C:\> New-AzureRmRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Udělení přístupu uživateli na prostředku (webu)

Příklad 4

PS C:\> New-AzureRMRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

Udělení přístupu ke skupině ve vnořeném prostředku (podsíti)

Příklad 5

PS C:\> $servicePrincipal = New-AzureRmADServicePrincipal -DisplayName "testServiceprincipal"
PS C:\> New-AzureRmRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

Udělení přístupu čtenáře k instančnímu objektu

Parametry

-AllowDelegation

Příznak delegování při vytváření přiřazení role.

Typ:	SwitchParameter
Position:	Named
Default value:	False
Vyžadováno:	False
Přijmout vstup kanálu:	False
Přijmout zástupné znaky:	False

-ApplicationId

ID aplikace servicePrincipal

Typ:	String
Aliasy:	SPN, ServicePrincipalName
Position:	Named
Default value:	None
Vyžadováno:	True
Přijmout vstup kanálu:	True
Přijmout zástupné znaky:	False

-DefaultProfile

Přihlašovací údaje, účet, tenant a předplatné používané ke komunikaci s Azure

Typ:	IAzureContextContainer
Aliasy:	AzureRmContext, AzureCredential
Position:	Named
Default value:	None
Vyžadováno:	False
Přijmout vstup kanálu:	False
Přijmout zástupné znaky:	False

-ObjectId

Microsoft Entra Objectid uživatele, skupiny nebo instančního objektu.

Typ:	Guid
Aliasy:	Id, PrincipalId
Position:	Named
Default value:	None
Vyžadováno:	True
Přijmout vstup kanálu:	True
Přijmout zástupné znaky:	False

-ParentResource

Nadřazený prostředek v hierarchii (prostředku zadaného pomocí parametru ResourceName). Měla by být použita pouze ve spojení s parametry ResourceGroupName, ResourceType a ResourceName k vytvoření hierarchického oboru ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:	String
Position:	Named
Default value:	None
Vyžadováno:	False
Přijmout vstup kanálu:	True
Přijmout zástupné znaky:	False

-ResourceGroupName

Název skupiny prostředků. Vytvoří přiřazení, které je účinné v zadané skupině prostředků. Pokud se používá společně s parametry ResourceName, ResourceType a (volitelně)ParentResource, příkaz vytvoří hierarchický obor ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:	String
Position:	Named
Default value:	None
Vyžadováno:	True
Přijmout vstup kanálu:	True
Přijmout zástupné znaky:	False

-ResourceName

Název prostředku. Například účet úložiště. Měly by se používat pouze ve spojení s parametry ResourceGroupName, ResourceType a (volitelně)ParentResource k vytvoření hierarchického oboru ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:	String
Position:	Named
Default value:	None
Vyžadováno:	True
Přijmout vstup kanálu:	True
Přijmout zástupné znaky:	False

-ResourceType

Typ zdroje. Například Microsoft.Network/virtualNetworks. Měly by se používat pouze ve spojení s parametry ResourceGroupName, ResourceName a (volitelně)ParentResource k vytvoření hierarchického oboru ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:	String
Position:	Named
Default value:	None
Vyžadováno:	True
Přijmout vstup kanálu:	True
Přijmout zástupné znaky:	False

-RoleDefinitionId

ID role RBAC, která musí být přiřazena k objektu zabezpečení.

Typ:	Guid
Position:	Named
Default value:	None
Vyžadováno:	True
Přijmout vstup kanálu:	True
Přijmout zástupné znaky:	False

-RoleDefinitionName

Název role RBAC, kterou je potřeba přiřadit k objektu zabezpečení, tj. čtenáři, přispěvateli, správci virtuální sítě atd.

Typ:	String
Position:	Named
Default value:	None
Vyžadováno:	True
Přijmout vstup kanálu:	True
Přijmout zástupné znaky:	False

-Scope

Rozsah přiřazení role. Ve formátu relativního identifikátoru URI. Například /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Pokud není zadáno, vytvoří přiřazení role na úrovni předplatného. Pokud je zadaný, měl by začínat na /subscriptions/{id}.

Typ:	String
Position:	Named
Default value:	None
Vyžadováno:	True
Přijmout vstup kanálu:	True
Přijmout zástupné znaky:	False

-SignInName

E-mailová adresa nebo hlavní název uživatele.

Typ:	String
Aliasy:	Email, UserPrincipalName
Position:	Named
Default value:	None
Vyžadováno:	True
Přijmout vstup kanálu:	True
Přijmout zástupné znaky:	False

Vstupy

Guid

String

Výstupy

PSRoleAssignment

Poznámky

Klíčová slova: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment

Související odkazy

• Get-AzureRmRoleAssignment
• Remove-AzureRmRoleAssignment
• Get-AzureRmRoleDefinition