次の方法で共有


az role assignment

ロールの割り当てを管理します。

コマンド

名前 説明 状態
az role assignment create

ユーザー、グループ、またはサービス プリンシパルに対して、新しいロール割り当てを作成します。

コア GA
az role assignment delete

ロールの割り当てを削除します。

コア GA
az role assignment list

ロールの割り当てを一覧表示します。

コア GA
az role assignment list-changelogs

ロールの割り当ての変更ログを一覧表示します。

コア GA
az role assignment update

ユーザー、グループ、またはサービス プリンシパルの既存のロールの割り当てを更新します。

コア GA

az role assignment create

ユーザー、グループ、またはサービス プリンシパルに対して、新しいロール割り当てを作成します。

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

ロールの割り当てを作成して、指定した担当者に Azure 仮想マシンの閲覧者ロールを付与します。

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

説明と条件を持つ担当者のロールの割り当てを作成します。

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

独自の割り当て名を使用してロールの割り当てを作成します。

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

必須のパラメーター

--role

ロール名または ID。

--scope

ロールの割り当てまたは定義が適用されるスコープ (/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333、/subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroups など) または /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

省略可能のパラメーター

--assignee

ユーザー、グループ、またはサービス プリンシパルを表します。 サポートされている形式: オブジェクト ID、ユーザー サインイン名、またはサービス プリンシパル名。

--assignee-object-id

特権が不十分な場合に Graph API 呼び出しをバイパスするには、'--assignee' の代わりにこのパラメーターを使用します。 このパラメーターは、ユーザー、グループ、サービス プリンシパル、およびマネージド ID のオブジェクト ID でのみ機能します。 マネージド ID の場合は、プリンシパル ID を使用します。サービス プリンシパルの場合は、アプリ ID ではなくオブジェクト ID を使用します。

--assignee-principal-type

--assignee-object-id と共に使用して、Microsoft Graph の伝達待機時間によって発生するエラーを回避します。

指定可能な値: ForeignGroup, Group, ServicePrincipal, User
--condition
プレビュー

ユーザーにアクセス許可を付与できる条件。

--condition-version
プレビュー

条件構文のバージョン。 --condition-version を指定せずに --condition を指定した場合、既定値は 2.0 です。

--description
プレビュー

ロールの割り当ての説明。

--name -n

ロールの割り当ての GUID。 ロールの割り当てごとに一意で異なる必要があります。 省略すると、新しい GUID が generetd になります。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az role assignment delete

ロールの割り当てを削除します。

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

ロールの割り当てを削除します。 (自動生成)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

省略可能のパラメーター

--assignee

ユーザー、グループ、またはサービス プリンシパルを表します。 サポートされている形式: オブジェクト ID、ユーザー サインイン名、またはサービス プリンシパル名。

--ids

領域で区切られたロールの割り当て ID。

--include-inherited

親スコープに適用される割り当てを含めます。

規定値: False
--resource-group -g

ロールまたは割り当てがリソース グループのレベルで追加された場合にのみ使用します。

--role

ロール名または ID。

--scope

ロールの割り当てまたは定義が適用されるスコープ (/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333、/subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroups など) または /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

--yes -y

サブスクリプションのすべての割り当てを引き続き削除します。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az role assignment list

ロールの割り当てを一覧表示します。

既定では、サブスクリプションをスコープとする割り当てのみが表示されます。 リソースまたはグループでスコープとされている割り当てを表示するには、--all を使用します。

[警告]Azure クラシック サブスクリプション管理者は、2024 年 8 月 31 日に廃止されます。 2024 年 8 月 31 日以降、すべてのクラシック管理者がサブスクリプションへのアクセスを失うリスクがあります。 アクセスが不要になった従来の管理者を削除するか、きめ細かなアクセス制御のために Azure RBAC ロールを割り当てます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2238474 を参照してください。

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

省略可能のパラメーター

--all

現在のサブスクリプションのすべての割り当てを表示します。

規定値: False
--assignee

ユーザー、グループ、またはサービス プリンシパルを表します。 サポートされている形式: オブジェクト ID、ユーザー サインイン名、またはサービス プリンシパル名。

--include-classic-administrators
非推奨

オプション '--include-classic-administrators' は非推奨となり、今後のリリースで削除される予定です。

サブスクリプション クラシック管理者 (共同管理者) の既定のロールの割り当てを一覧表示します。

指定可能な値: false, true
規定値: False
--include-groups

ユーザーがメンバーであるグループへの追加の割り当てを含めます (推移的)。

規定値: False
--include-inherited

親スコープに適用される割り当てを含めます。

規定値: False
--resource-group -g

ロールまたは割り当てがリソース グループのレベルで追加された場合にのみ使用します。

--role

ロール名または ID。

--scope

ロールの割り当てまたは定義が適用されるスコープ (/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333、/subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroups など) または /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az role assignment list-changelogs

ロールの割り当ての変更ログを一覧表示します。

az role assignment list-changelogs [--end-time]
                                   [--start-time]

省略可能のパラメーター

--end-time

%Y-%m-%dT%H:%M:%SZ 形式のクエリの終了時刻 (例: 2000-12-31T12:59:59Z)。 既定値は現在の時刻です。

--start-time

%Y-%m-%dT%H:%M:%SZ の形式のクエリの開始時刻 (例: 2000-12-31T12:59:59Z)。 既定値は、現在の時刻の 1 時間前です。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az role assignment update

ユーザー、グループ、またはサービス プリンシパルの既存のロールの割り当てを更新します。

az role assignment update --role-assignment

JSON ファイルからロールの割り当てを更新します。

az role assignment update --role-assignment assignment.json

JSON 文字列からロールの割り当てを更新します。 (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

必須のパラメーター

--role-assignment

JSON としての既存のロールの割り当て、または JSON の説明を含むファイルへのパスの説明。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。