az synapse role assignment

Verwalten Sie die Rollenzuweisungen von Synapse.

Befehle

Name	Beschreibung	Typ	Status
az synapse role assignment create	Erstellen Sie eine Rollenzuweisung.	Kern	GA
az synapse role assignment delete	Rollenzuweisungen des Arbeitsbereichs löschen.	Kern	GA
az synapse role assignment list	Listen Sie die Rollenzuweisungen auf:	Kern	GA
az synapse role assignment show	Abrufen einer Rollenzuweisung nach ID.	Kern	GA

az synapse role assignment create

Erstellen Sie eine Rollenzuweisung.

az synapse role assignment create --role
                                  --workspace-name
                                  [--assignee]
                                  [--assignee-object-id]
                                  [--assignee-principal-type {Group, ServicePrincipal, User}]
                                  [--assignment-id]
                                  [--item]
                                  [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                  [--scope]

Beispiele

Erstellen Sie eine Rollenzuweisung mit dem Dienstprinzipalnamen.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name

Erstellen Sie eine Rollenzuweisung mithilfe des Benutzerprinzipalnamens.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee username@contoso.com

Erstellen Sie eine Rollenzuweisung mit objectId des Benutzers, der Gruppe oder des Dienstprinzipals.

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee 00000000-0000-0000-0000-000000000000

Erstellen Sie eine Rollenzuweisung im Bereich.

az synapse role assignment create --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}" --role "Synapse Administrator" --assignee username@contoso.com

Erstellen Sie eine Rollenzuweisung im Bereich der Kombination aus Elementtyp und Elementname.

az synapse role assignment create --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName" --role "Synapse Administrator" \
--assignee username@contoso.com

Wenn Sie ein Benutzer sind, der über die Berechtigung zum Verwalten der Azure RBAC-Rollenzuweisung im Arbeitsbereich, aber nicht als Synapse-Administrator verfügt, erstellen Sie die Rollenzuweisung durch -role roleid. Der Grund hierfür ist, dass das Cmdlet beim Hinzufügen einer "Synapse-Administrator"-Rolle die Rollen-ID aus dem Rollennamen abrufen muss, der die Berechtigung zum Lesen des Arbeitsbereichs erfordert, über die der aktuelle Benutzer nicht verfügt.

az synapse role assignment create \
--workspace-name testsynapseworkspace \
--role "6e4bf58a-b8e1-4cc3-bbf9-d73143322b78" \
--assignee username@contoso.com

Erforderliche Parameter

--role

Der Rollenname/die ID, die dem Prinzipal zugewiesen ist.

--workspace-name

Der Arbeitsbereichsname.

Optionale Parameter

--assignee

Stellt einen Benutzer oder Dienstprinzipal dar. Unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Verwenden Sie diesen Parameter anstelle von "--assignee", um graph-API-Aufrufe im Falle unzureichender Berechtigungen zu umgehen. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Verwenden Sie für verwaltete Identitäten die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die App-ID.

--assignee-principal-type --assignee-type

Wird mit --assignee-object-id verwendet, um Fehler zu vermeiden, die durch die Verteilungslatenz in AAD Graph verursacht werden.

Zulässige Werte: Group, ServicePrincipal, User

--assignment-id

Benutzerdefinierte Rollenzuweisungs-ID im GUID-Format, falls nicht angegeben, wird die Zuordnungs-ID zufällig generiert.

--item

Element, dem der Zugriff im Arbeitsbereich gewährt wurde. Wird mit --item-type verwendet, um den Umfang der Zuordnung zu kombinieren.

--item-type

Elementtyp, der Zugriff im Arbeitsbereich gewährt hat. Wird mit "--item" verwendet, um den Umfang der Zuordnung zu kombinieren.

Zulässige Werte: bigDataPools, credentials, integrationRuntimes, linkedServices

--scope

Ein Bereich definiert die Ressourcen oder Artefakte, auf die der Zugriff angewendet wird. Synapse unterstützt hierarchische Bereiche. Berechtigungen, die auf einem Bereich höherer Ebene erteilt wurden, werden auf Objekte auf niedrigerer Ebene vererbt. In Synapse RBAC ist der Bereich auf der obersten Ebene der Arbeitsbereich. Durch das Zuweisen einer Rolle auf Arbeitsbereichsebene werden die zugehörigen Berechtigungen allen entsprechenden Objekten im Arbeitsbereich erteilt.

Globale Parameter

--debug

Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.

--help -h

Diese Hilfemeldung anzeigen und schließen.

--only-show-errors

Nur Fehler anzeigen, Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.

--verbose

Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.

az synapse role assignment delete

Rollenzuweisungen des Arbeitsbereichs löschen.

az synapse role assignment delete --workspace-name
                                  [--assignee]
                                  [--assignee-object-id]
                                  [--ids]
                                  [--item]
                                  [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                  [--role]
                                  [--scope]
                                  [--yes]

Beispiele

Löschen Sie Rollenzuweisungen nach Rolle und Zuweisung.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name

Löschen Sie Rollenzuweisungen nach Rollen-ID/Name.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator"

Löschen Sie Rollenzuweisungen nach Dienstprinzipalname.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee sp_name

Löschen Sie Rollenzuweisungen nach Benutzerprinzipalname.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee username@contoso.com

Löschen Sie Rollenzuweisungen nach objectId des Benutzers, der Gruppe oder des Dienstprinzipals.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee 00000000-0000-0000-0000-000000000001

Löschen Sie Rollenzuweisungen nach IDs.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--ids 10000000-0000-0000-0000-10000000-10000000-0000-0000-0000-10000000

Rollenzuweisungen nach Bereich löschen.

az synapse role assignment delete --workspace-name testsynapseworkspace \
--scope "workspaces/testsynapseworkspace/linkedServices/testlinkedServices"

Erforderliche Parameter

--workspace-name

Der Arbeitsbereichsname.

Optionale Parameter

--assignee

Stellt einen Benutzer oder Dienstprinzipal dar. Unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Verwenden Sie diesen Parameter anstelle von "--assignee", um graph-API-Aufrufe im Falle unzureichender Berechtigungen zu umgehen. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Verwenden Sie für verwaltete Identitäten die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die App-ID.

--ids

Leerzeichen getrennte Rollenzuweisungs-IDs. Sie sollten "--role" oder "-assignee" nicht bereitstellen, wenn --ids bereitgestellt werden.

--item

Element, dem der Zugriff im Arbeitsbereich gewährt wurde. Wird mit --item-type verwendet, um den Umfang der Zuordnung zu kombinieren. Verwenden von az-Rollenzuweisung mit Filterbedingung vor dem Ausführen des Löschvorgangs, um deutlich zu wissen, welche Zuordnungen gelöscht werden.

--item-type

Elementtyp, der Zugriff im Arbeitsbereich gewährt hat. Wird mit "--item" verwendet, um den Umfang der Zuordnung zu kombinieren. Verwenden von az-Rollenzuweisung mit Filterbedingung vor dem Ausführen des Löschvorgangs, um deutlich zu wissen, welche Zuordnungen gelöscht werden.

Zulässige Werte: bigDataPools, credentials, integrationRuntimes, linkedServices

--role

Der Rollenname/die ID, die dem Prinzipal zugewiesen ist.

--scope

Ein Bereich definiert die Ressourcen oder Artefakte, auf die der Zugriff angewendet wird. Synapse unterstützt hierarchische Bereiche. Berechtigungen, die auf einem Bereich höherer Ebene erteilt wurden, werden auf Objekte auf niedrigerer Ebene vererbt. In Synapse RBAC ist der Bereich auf der obersten Ebene der Arbeitsbereich. Verwenden von az-Rollenzuweisung mit Filterbedingung vor dem Ausführen des Löschvorgangs, um deutlich zu wissen, welche Zuordnungen gelöscht werden.

--yes -y

Zur Bestätigung nicht auffordern.

Standardwert: False

Globale Parameter

--debug

Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.

--help -h

Diese Hilfemeldung anzeigen und schließen.

--only-show-errors

Nur Fehler anzeigen, Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.

--verbose

Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.

az synapse role assignment list

Listen Sie die Rollenzuweisungen auf:

az synapse role assignment list --workspace-name
                                [--assignee]
                                [--assignee-object-id]
                                [--item]
                                [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                [--role]
                                [--scope]

Beispiele

Listen Sie die Rollenzuweisungen auf:

az synapse role assignment list --workspace-name testsynapseworkspace

Auflisten von Rollenzuweisungen nach Rollen-ID/Name.

az synapse role assignment list --workspace-name testsynapseworkspace \
--role "Synapse Apache Spark Administrator"

Rollenzuweisungen nach Zuweisen auflisten.

az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee sp_name

Auflisten von Rollenzuweisungen nach objectId des Benutzers, der Gruppe oder des Dienstprinzipals.

az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee-object-id 00000000-0000-0000-0000-000000000000

Rollenzuweisungen nach Bereich auflisten.

az synapse role assignment list --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}"

Rollenzuweisungen nach Elementtyp und Elementname auflisten.

az synapse role assignment list --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName"

Erforderliche Parameter

--workspace-name

Der Arbeitsbereichsname.

Optionale Parameter

--assignee

Stellt einen Benutzer oder Dienstprinzipal dar. Unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Verwenden Sie diesen Parameter anstelle von "--assignee", um graph-API-Aufrufe im Falle unzureichender Berechtigungen zu umgehen. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Verwenden Sie für verwaltete Identitäten die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die App-ID.

--item

Element, dem der Zugriff im Arbeitsbereich gewährt wurde. Wird mit --item-type verwendet, um den Umfang der Zuordnung zu kombinieren.

--item-type

Elementtyp, der Zugriff im Arbeitsbereich gewährt hat. Wird mit "--item" verwendet, um den Umfang der Zuordnung zu kombinieren.

Zulässige Werte: bigDataPools, credentials, integrationRuntimes, linkedServices

--role

Der Rollenname/die ID, die dem Prinzipal zugewiesen ist.

--scope

Ein Bereich definiert die Ressourcen oder Artefakte, auf die der Zugriff angewendet wird. Synapse unterstützt hierarchische Bereiche. Berechtigungen, die auf einem Bereich höherer Ebene erteilt wurden, werden auf Objekte auf niedrigerer Ebene vererbt. In Synapse RBAC ist der Bereich auf der obersten Ebene der Arbeitsbereich. Durch das Zuweisen einer Rolle auf Arbeitsbereichsebene werden die zugehörigen Berechtigungen allen entsprechenden Objekten im Arbeitsbereich erteilt.

Globale Parameter

--debug

Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.

--help -h

Diese Hilfemeldung anzeigen und schließen.

--only-show-errors

Nur Fehler anzeigen, Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.

--verbose

Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.

az synapse role assignment show

Abrufen einer Rollenzuweisung nach ID.

az synapse role assignment show --id
                                --workspace-name

Beispiele

Abrufen einer Rollenzuweisung nach ID.

az synapse role assignment show --workspace-name testsynapseworkspace \
--id 00000000-0000-0000-0000-000000000000

Erforderliche Parameter

--id

ID der Rolle, die dem Prinzipal zugewiesen ist.

--workspace-name

Der Arbeitsbereichsname.

Globale Parameter

--debug

Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.

--help -h

Diese Hilfemeldung anzeigen und schließen.

--only-show-errors

Nur Fehler anzeigen, Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc

Standardwert: json

--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.

--verbose

Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.