New-AzureRmRoleAssignment
Asigna el rol de RBAC especificado a la entidad de seguridad especificada en el ámbito especificado.
Advertencia
El módulo AzureRM PowerShell ha quedado oficialmente obsoleto a partir del 29 de febrero de 2024. Se recomienda a los usuarios migrar de AzureRM al módulo Az PowerShell para seguir recibiendo soporte técnico y actualizaciones.
Aunque el módulo AzureRM puede seguir funcionando, ya no recibirá mantenimiento ni soporte técnico, lo que significa que su uso continuado queda a discreción y riesgo del usuario. Consulte nuestros recursos de migración para ver una guía sobre la transición al módulo Az.
Sintaxis
New-AzureRmRoleAssignment
-ObjectId <Guid>
-Scope <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ObjectId <Guid>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ObjectId <Guid>
-Scope <String>
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzureRmRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Description
Use el comando New-AzureRMRoleAssignment para conceder acceso. El acceso se concede asignando el rol RBAC adecuado a ellos en el ámbito correcto. Para conceder acceso a toda la suscripción, asigne un rol en el ámbito de la suscripción. Para conceder acceso a un grupo de recursos específico dentro de una suscripción, asigne un rol en el ámbito del grupo de recursos. Se debe especificar el asunto de la asignación. Para especificar un usuario, use los parámetros SignInName o Microsoft Entra ObjectId. Para especificar un grupo de seguridad, use el parámetro Microsoft Entra ObjectId. Y para especificar una aplicación de Microsoft Entra, use los parámetros ApplicationId o ObjectId. El rol que se va a asignar debe especificarse mediante el parámetro RoleDefinitionName. Se puede especificar el ámbito en el que se concede acceso. El valor predeterminado es la suscripción seleccionada. El ámbito de la asignación se puede especificar mediante una de las siguientes combinaciones de parámetros a. Ámbito: este es el ámbito completo a partir de /subscriptions/<subscriptionId> b. ResourceGroupName: para conceder acceso al grupo de recursos especificado. c. ResourceName, ResourceType, ResourceGroupName y (opcionalmente) ParentResource: para especificar un recurso determinado dentro de un grupo de recursos al que conceder acceso.
Ejemplos
Ejemplo 1
PS C:\> New-AzureRmRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation
Concesión de acceso de rol lector a un usuario en un ámbito de grupo de recursos con la asignación de roles disponible para la delegación
Ejemplo 2
PS C:\> Get-AzureRMADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 00001111-aaaa-2222-bbbb-3333cccc4444
PS C:\> New-AzureRmRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName Contributor -ResourceGroupName rg1
Concesión de acceso a un grupo de seguridad
Ejemplo 3
PS C:\> New-AzureRmRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Concesión de acceso a un usuario en un recurso (sitio web)
Ejemplo 4
PS C:\> New-AzureRMRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network
Concesión de acceso a un grupo en un recurso anidado (subred)
Ejemplo 5
PS C:\> $servicePrincipal = New-AzureRmADServicePrincipal -DisplayName "testServiceprincipal"
PS C:\> New-AzureRmRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId
Concesión de acceso de lector a una entidad de servicio
Parámetros
-AllowDelegation
Marca de delegación al crear una asignación de roles.
Tipo: | SwitchParameter |
Posición: | Named |
Valor predeterminado: | False |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-ApplicationId
El identificador de aplicación de ServicePrincipal
Tipo: | String |
Alias: | SPN, ServicePrincipalName |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | True |
Aceptar entrada de canalización: | True |
Aceptar caracteres comodín: | False |
-DefaultProfile
Las credenciales, la cuenta, el inquilino y la suscripción que se usan para la comunicación con Azure
Tipo: | IAzureContextContainer |
Alias: | AzureRmContext, AzureCredential |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | False |
Aceptar caracteres comodín: | False |
-ObjectId
Microsoft Entra Objectid del usuario, grupo o entidad de servicio.
Tipo: | Guid |
Alias: | Id, PrincipalId |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | True |
Aceptar entrada de canalización: | True |
Aceptar caracteres comodín: | False |
-ParentResource
El recurso primario de la jerarquía (del recurso especificado mediante el parámetro ResourceName). Solo se debe usar junto con los parámetros ResourceGroupName, ResourceType y ResourceName para construir un ámbito jerárquico en forma de un URI relativo que identifique un recurso.
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | False |
Aceptar entrada de canalización: | True |
Aceptar caracteres comodín: | False |
-ResourceGroupName
El nombre del grupo de recursos. Crea una asignación que es efectiva en el grupo de recursos especificado. Cuando se usa junto con los parámetros ResourceName, ResourceType y (opcionalmente) ParentResource, el comando construye un ámbito jerárquico en forma de un URI relativo que identifica un recurso.
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | True |
Aceptar entrada de canalización: | True |
Aceptar caracteres comodín: | False |
-ResourceName
Nombre del recurso. Por ejemplo, storageaccountprod. Solo se debe usar junto con los parámetros ResourceGroupName, ResourceType y (opcionalmente) ParentResource para construir un ámbito jerárquico en forma de un URI relativo que identifica un recurso.
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | True |
Aceptar entrada de canalización: | True |
Aceptar caracteres comodín: | False |
-ResourceType
Tipo de recurso. Por ejemplo, Microsoft.Network/virtualNetworks. Solo se debe usar junto con los parámetros ResourceGroupName, ResourceName y (opcionalmente) ParentResource para construir un ámbito jerárquico en forma de un URI relativo que identifica un recurso.
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | True |
Aceptar entrada de canalización: | True |
Aceptar caracteres comodín: | False |
-RoleDefinitionId
Identificador del rol RBAC que se debe asignar a la entidad de seguridad.
Tipo: | Guid |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | True |
Aceptar entrada de canalización: | True |
Aceptar caracteres comodín: | False |
-RoleDefinitionName
Nombre del rol RBAC que debe asignarse a la entidad de seguridad, es decir, Lector, Colaborador, Administrador de red virtual, etcetera.
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | True |
Aceptar entrada de canalización: | True |
Aceptar caracteres comodín: | False |
-Scope
Ámbito de la asignación de roles. En el formato de URI relativo. Por ejemplo, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Si no se especifica, creará la asignación de roles en el nivel de suscripción. Si se especifica, debe comenzar con "/subscriptions/{id}".
Tipo: | String |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | True |
Aceptar entrada de canalización: | True |
Aceptar caracteres comodín: | False |
-SignInName
La dirección de correo electrónico o el nombre principal de usuario del usuario.
Tipo: | String |
Alias: | Email, UserPrincipalName |
Posición: | Named |
Valor predeterminado: | None |
Requerido: | True |
Aceptar entrada de canalización: | True |
Aceptar caracteres comodín: | False |
Entradas
Salidas
Notas
Palabras clave: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment