az role assignment
Verwalten von Rollenzuweisungen.
Befehle
| Name | Beschreibung | Typ | Status |
|---|---|---|---|
| az role assignment create |
Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal. |
Core | Allgemein verfügbar |
| az role assignment delete |
Rollenzuweisungen löschen. |
Core | Allgemein verfügbar |
| az role assignment list |
Listen Sie die Rollenzuweisungen auf: |
Core | Allgemein verfügbar |
| az role assignment list-changelogs |
Listet Änderungsprotokollen für Rollenzuweisungen auf. |
Core | Allgemein verfügbar |
| az role assignment update |
Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal. |
Core | Allgemein verfügbar |
az role assignment create
Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]Beispiele
Erstellen Sie eine Rollenzuweisung, um dem angegebenen Zugewiesenen die Reader-Rolle auf einem virtuellen Azure-Computer zu gewähren.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVmErstellen Sie eine Rollenzuweisung für einen Zugewiesenen mit Beschreibung und Bedingung.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"Erstellen Sie eine Rollenzuweisung mit Ihrem eigenen Aufgabennamen.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000Erforderliche Parameter
Rollenname oder ID.
Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup oder /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Optionale Parameter
Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.
Verwenden Sie diesen Parameter anstelle von "--assignee", um graph-API-Aufrufe im Falle unzureichender Berechtigungen zu umgehen. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Verwenden Sie für verwaltete Identitäten die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die App-ID.
Wird mit --assignee-object-id verwendet, um Fehler zu vermeiden, die durch die Verteilungslatenz in Microsoft Graph verursacht werden.
Hierbei handelt es sich um die Bedingung, unter der dem Benutzer die Berechtigung erteilt werden kann.
Hierbei handelt es sich um die Version der Bedingungssyntax. If --condition is specified without --condition-version, default to 2.0.
Beschreibung der Rollenzuweisung.
Eine GUID für die Rollenzuweisung. Sie muss für jede Rollenzuweisung eindeutig und unterschiedlich sein. Wenn diese Angabe weggelassen wird, wird eine neue GUID generiert.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az role assignment delete
Rollenzuweisungen löschen.
Mit diesem Befehl werden alle Rollenzuweisungen gelöscht, die die bereitgestellte Abfragebedingung erfüllen. Vor dem Ausführen dieses Befehls wird dringend empfohlen, az role assignment list zuerst mit denselben Argumenten auszuführen, um festzustellen, welche Rollenzuweisungen gelöscht werden.
az role assignment delete [--assignee]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]Beispiele
Löschen Sie alle Rollenzuweisungen mit der Rolle "Leser" im Abonnementbereich.
az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Löschen Sie alle Rollenzuweisungen eines Zugewiesenen im Abonnementbereich.
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Optionale Parameter
Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.
Leerzeichen getrennte Rollenzuweisungs-IDs.
Zuweisungen einschließen, die auf übergeordnete Bereiche angewendet werden.
Verwenden Sie sie nur, wenn die Rolle oder Zuordnung auf der Ebene einer Ressourcengruppe hinzugefügt wurde.
Rollenname oder ID.
Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup oder /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Derzeit no-op.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az role assignment list
Listen Sie die Rollenzuweisungen auf:
Standardmäßig werden nur Zuweisungen im Abonnementkontext angezeigt. Zum Anzeigen von Zuweisungen im Ressourcen- oder Gruppenkontext verwenden Sie --all.
[WARNUNG] Azure Classic-Abonnementadministratoren werden am 31. August 2024 eingestellt. Nach dem 31. August 2024 riskieren alle klassischen Administratoren, den Zugriff auf das Abonnement zu verlieren. Löschen Sie klassische Administratoren, die keinen Zugriff mehr benötigen, oder weisen Sie eine Azure RBAC-Rolle für eine differenzierte Zugriffssteuerung zu. Weitere Informationen finden Sie hier: https://go.microsoft.com/fwlink/?linkid=2238474.
az role assignment list [--all]
[--assignee]
[--include-classic-administrators {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]Beispiele
Auflisten aller Rollenzuweisungen mit der Rolle "Leser" im Abonnementbereich.
az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000Listet alle Rollenzuweisungen eines Zugewiesenen im Abonnementbereich auf.
az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000Optionale Parameter
Alle Zuordnungen unter dem aktuellen Abonnement anzeigen.
Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.
Option "--include-classic-administrators" ist veraltet und wird in einer zukünftigen Version entfernt.
Listen Sie Standardrollenzuweisungen für klassische Abonnementadministratoren auf, auch als Co-Administratoren bezeichnet.
Fügen Sie zusätzliche Zuweisungen zu den Gruppen hinzu, deren Mitglied der Benutzer ist(transitiv).
Zuweisungen einschließen, die auf übergeordnete Bereiche angewendet werden.
Verwenden Sie sie nur, wenn die Rolle oder Zuordnung auf der Ebene einer Ressourcengruppe hinzugefügt wurde.
Rollenname oder ID.
Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup oder /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az role assignment list-changelogs
Listet Änderungsprotokollen für Rollenzuweisungen auf.
az role assignment list-changelogs [--end-time]
[--start-time]Optionale Parameter
Die Endzeit der Abfrage im Format %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Der Standardwert ist die aktuelle Uhrzeit.
Die Startzeit der Abfrage im Format %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Der Standardwert ist 1 Stunde vor der aktuellen Uhrzeit.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az role assignment update
Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.
az role assignment update --role-assignmentBeispiele
Aktualisieren sie eine Rollenzuweisung aus einer JSON-Datei.
az role assignment update --role-assignment assignment.jsonAktualisieren sie eine Rollenzuweisung aus einer JSON-Zeichenfolge. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'Erforderliche Parameter
Beschreibung einer vorhandenen Rollenzuweisung als JSON oder ein Pfad zu einer Datei, die eine JSON-Beschreibung enthält.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
