az role assignment
Gérer les attributions de rôles.
Commandes
| Nom | Description | Type | État |
|---|---|---|---|
| az role assignment create |
Crée une nouvelle attribution de rôle pour un utilisateur, un groupe ou un principal de service. |
Core | GA |
| az role assignment delete |
Supprimez les attributions de rôles. |
Core | GA |
| az role assignment list |
Listez les attributions de rôles. |
Core | GA |
| az role assignment list-changelogs |
Répertorier les journaux de modification pour les attributions de rôles. |
Core | GA |
| az role assignment update |
Mettez à jour une attribution de rôle existante pour un utilisateur, un groupe ou un principal de service. |
Core | GA |
az role assignment create
Crée une nouvelle attribution de rôle pour un utilisateur, un groupe ou un principal de service.
az role assignment create --role
--scope
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
[--condition]
[--condition-version]
[--description]
[--name]Exemples
Créez une attribution de rôle pour accorder au bénéficiaire spécifié le rôle Lecteur sur une machine virtuelle Azure.
az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVmCréez une attribution de rôle pour un assigneur avec description et condition.
az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"Créez une attribution de rôle avec votre propre nom d’attribution.
az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000Paramètres obligatoires
Nom ou ID du rôle.
Étendue à laquelle l’attribution ou la définition de rôle s’applique, par exemple, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroups, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Paramètres facultatifs
Représente un utilisateur, un groupe ou un principal de service. format pris en charge : ID d’objet, nom de connexion de l’utilisateur ou nom du principal de service.
Utilisez ce paramètre au lieu de « --assignee » pour contourner l’appel de l’API Graph en cas de privilèges insuffisants. Ce paramètre fonctionne uniquement avec des ID d’objet pour les utilisateurs, les groupes, les principaux de service et les identités managées. Pour les identités managées, utilisez l’ID de principal. Pour les principaux de service, utilisez l’ID d’objet et non l’ID d’application.
Utilisez --assignee-object-id pour éviter les erreurs causées par la latence de propagation dans Microsoft Graph.
Condition sous laquelle l’utilisateur peut se voir accorder une autorisation.
Version de la syntaxe de condition. Si --condition est spécifié sans --condition-version, la valeur par défaut est 2.0.
Description de l’attribution de rôle.
GUID pour l’attribution de rôle. Il doit être unique et différent pour chaque attribution de rôle. S’il est omis, un nouveau GUID est generetd.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az role assignment delete
Supprimez les attributions de rôles.
az role assignment delete [--assignee]
[--ids]
[--include-inherited]
[--resource-group]
[--role]
[--scope]
[--yes]Exemples
Supprimez les attributions de rôles. (généré automatiquement)
az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"Paramètres facultatifs
Représente un utilisateur, un groupe ou un principal de service. format pris en charge : ID d’objet, nom de connexion de l’utilisateur ou nom du principal de service.
ID d’attribution de rôle séparés par l’espace.
Incluez les affectations appliquées aux étendues parentes.
Utilisez-la uniquement si le rôle ou l’attribution a été ajouté au niveau d’un groupe de ressources.
Nom ou ID du rôle.
Étendue à laquelle l’attribution ou la définition de rôle s’applique, par exemple, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroups, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Continuez à supprimer toutes les affectations sous l’abonnement.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az role assignment list
Listez les attributions de rôles.
Par défaut, seules sont affichées les attributions étendues à un abonnement. Pour afficher les attributions étendues par ressource ou groupe, utilisez --all.
[AVERTISSEMENT] Les administrateurs d’abonnements Azure Classic seront mis hors service le 31 août 2024. Après le 31 août 2024, tous les administrateurs classiques risquent de perdre l’accès à l’abonnement. Supprimez les administrateurs classiques qui n’ont plus besoin d’accéder à un rôle RBAC Azure pour un contrôle d’accès affiné. En savoir plus : https://go.microsoft.com/fwlink/?linkid=2238474.
az role assignment list [--all]
[--assignee]
[--include-classic-administrators {false, true}]
[--include-groups]
[--include-inherited]
[--resource-group]
[--role]
[--scope]Paramètres facultatifs
Afficher toutes les affectations sous l’abonnement actuel.
Représente un utilisateur, un groupe ou un principal de service. format pris en charge : ID d’objet, nom de connexion de l’utilisateur ou nom du principal de service.
L’option « --include-classic-administrators » a été déconseillée et sera supprimée dans une prochaine version.
Répertoriez les attributions de rôles par défaut pour les administrateurs classiques d’abonnement, également appelées coadministrateurs.
Incluez des affectations supplémentaires aux groupes dont l’utilisateur est membre (transitivement).
Incluez les affectations appliquées aux étendues parentes.
Utilisez-la uniquement si le rôle ou l’attribution a été ajouté au niveau d’un groupe de ressources.
Nom ou ID du rôle.
Étendue à laquelle l’attribution ou la définition de rôle s’applique, par exemple, /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222233333/resourceGroups/myGroups, ou /subscriptions/0b1f6471-1bf0-4dda-aec3-111122222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az role assignment list-changelogs
Répertorier les journaux de modification pour les attributions de rôles.
az role assignment list-changelogs [--end-time]
[--start-time]Paramètres facultatifs
Heure de fin de la requête au format %Y-%m-%dT%H :%M :%SZ, par exemple 2000-12-31T12:59:59Z. La valeur par défaut est l’heure actuelle.
Heure de début de la requête au format %Y-%m-%dT%H :%M :%SZ, par exemple 2000-12-31T12:59:59Z. La valeur par défaut est 1 heure antérieure à l’heure actuelle.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
az role assignment update
Mettez à jour une attribution de rôle existante pour un utilisateur, un groupe ou un principal de service.
az role assignment update --role-assignmentExemples
Mettez à jour une attribution de rôle à partir d’un fichier JSON.
az role assignment update --role-assignment assignment.jsonMettez à jour une attribution de rôle à partir d’une chaîne JSON. (Bash)
az role assignment update --role-assignment '{
"canDelegate": null,
"condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
"conditionVersion": "2.0",
"description": "Role assignment foo to check on bar",
"id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
"principalId": "00000002-0000-0000-0000-000000000000",
"principalType": "User",
"resourceGroup": "rg1",
"roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
"type": "Microsoft.Authorization/roleAssignments"
}'Paramètres obligatoires
Description d’une attribution de rôle existante en tant que JSON ou chemin d’accès à un fichier contenant une description JSON.
Paramètres globaux
Augmentez le niveau de détail de la journalisation pour afficher tous les journaux de débogage.
Affichez ce message d’aide et quittez.
Afficher uniquement les erreurs, en supprimant les avertissements.
Format de sortie.
Chaîne de requêtes JMESPath. Pour plus d’informations et d’exemples, consultez http://jmespath.org/.
Nom ou ID de l’abonnement. Vous pouvez configurer l’abonnement par défaut en utilisant az account set -s NAME_OR_ID.
Augmentez le niveau de détail de la journalisation. Utilisez --debug pour des journaux de débogage complets.
