New-AzureRmRoleAssignment
Przypisuje określoną rolę RBAC do określonego podmiotu zabezpieczeń w określonym zakresie.
Ostrzeżenie
Moduł AzureRM PowerShell jest oficjalnie przestarzały od 29 lutego 2024 r. Zaleca się migrowanie użytkowników z modułu AzureRM do modułu Az programu PowerShell w celu zapewnienia ciągłej obsługi i aktualizacji.
Mimo że moduł AzureRM może nadal działać, nie jest już utrzymywany ani obsługiwany, umieszczając wszelkie dalsze zastosowania według uznania i ryzyka użytkownika. Zapoznaj się z naszymi zasobami migracji, aby uzyskać wskazówki dotyczące przejścia do modułu Az.
Składnia
New-AzureRmRoleAssignment
-ObjectId <Guid>
-Scope <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ObjectId <Guid>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ObjectId <Guid>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ObjectId <Guid>
-Scope <String>
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] New-AzureRmRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-AllowDelegation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>] Opis
Aby udzielić dostępu, użyj polecenia New-AzureRMRoleAssignment. Dostęp jest udzielany przez przypisanie odpowiedniej roli RBAC do nich w odpowiednim zakresie. Aby udzielić dostępu do całej subskrypcji, przypisz rolę w zakresie subskrypcji. Aby udzielić dostępu do określonej grupy zasobów w ramach subskrypcji, przypisz rolę w zakresie grupy zasobów. Należy określić temat przypisania. Aby określić użytkownika, użyj parametrów SignInName lub Microsoft Entra ObjectId. Aby określić grupę zabezpieczeń, użyj parametru Microsoft Entra ObjectId. Aby określić aplikację Microsoft Entra, użyj parametrów ApplicationId lub ObjectId. Przypisaną rolę należy określić przy użyciu parametru RoleDefinitionName. Można określić zakres, w którym jest udzielany dostęp. Domyślnie jest to wybrana subskrypcja. Zakres przypisania można określić przy użyciu jednej z następujących kombinacji parametrów a. Zakres — jest to w pełni kwalifikowany zakres rozpoczynający się od /subscriptions/<subscriptionId> b. ResourceGroupName — aby udzielić dostępu do określonej grupy zasobów. c. ResourceName, ResourceType, ResourceGroupName i (opcjonalnie) ParentResource — aby określić określony zasób w grupie zasobów w celu udzielenia dostępu.
Przykłady
Przykład 1
PS C:\> New-AzureRmRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegationUdzielanie użytkownikowi dostępu roli czytelnika w zakresie grupy zasobów, przy czym przypisanie roli jest dostępne dla delegowania
Przykład 2
PS C:\> Get-AzureRMADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 00001111-aaaa-2222-bbbb-3333cccc4444
PS C:\> New-AzureRmRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName Contributor -ResourceGroupName rg1Udzielanie dostępu do grupy zabezpieczeń
Przykład 3
PS C:\> New-AzureRmRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"Udzielanie dostępu użytkownikowi w zasobie (witryna internetowa)
Przykład 4
PS C:\> New-AzureRMRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName NetworkUdzielanie dostępu do grupy w zagnieżdżonym zasobie (podsieci)
Przykład 5
PS C:\> $servicePrincipal = New-AzureRmADServicePrincipal -DisplayName "testServiceprincipal"
PS C:\> New-AzureRmRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationIdUdzielanie czytelnikowi dostępu do jednostki usługi
Parametry
-AllowDelegation
Flaga delegowania podczas tworzenia przypisania roli.
| Typ: | SwitchParameter |
| Position: | Named |
| Domyślna wartość: | False |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-ApplicationId
Identyfikator aplikacji elementu ServicePrincipal
| Typ: | String |
| Aliasy: | SPN, ServicePrincipalName |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | True |
| Akceptowanie symboli wieloznacznych: | False |
-DefaultProfile
Poświadczenia, konto, dzierżawa i subskrypcja używane do komunikacji z platformą Azure
| Typ: | IAzureContextContainer |
| Aliasy: | AzureRmContext, AzureCredential |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | False |
| Akceptowanie symboli wieloznacznych: | False |
-ObjectId
Microsoft Entra Objectid użytkownika, grupy lub jednostki usługi.
| Typ: | Guid |
| Aliasy: | Id, PrincipalId |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | True |
| Akceptowanie symboli wieloznacznych: | False |
-ParentResource
Zasób nadrzędny w hierarchii (zasobu określonego przy użyciu parametru ResourceName). Należy używać tylko w połączeniu z parametrami ResourceGroupName, ResourceType i ResourceName, aby utworzyć zakres hierarchiczny w postaci względnego identyfikatora URI identyfikującego zasób.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | False |
| Akceptowanie danych wejściowych potoku: | True |
| Akceptowanie symboli wieloznacznych: | False |
-ResourceGroupName
Nazwa grupy zasobów. Tworzy przypisanie obowiązujące w określonej grupie zasobów. W połączeniu z parametrami ResourceName, ResourceType i (opcjonalnie)ParentResource polecenie tworzy hierarchiczny zakres w postaci względnego identyfikatora URI identyfikującego zasób.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | True |
| Akceptowanie symboli wieloznacznych: | False |
-ResourceName
Nazwa zasobu. Na przykład storageaccountprod. Powinny być używane tylko w połączeniu z ResourceGroupName, ResourceType i (opcjonalnie)Parametry ParentResource do konstruowania zakresu hierarchicznego w postaci względnego identyfikatora URI identyfikującego zasób.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | True |
| Akceptowanie symboli wieloznacznych: | False |
-ResourceType
Typ zasobu. Na przykład Microsoft.Network/virtualNetworks. Powinny być używane tylko w połączeniu z ResourceGroupName, ResourceName i (opcjonalnie)Parametry ParentResource do konstruowania zakresu hierarchicznego w postaci względnego identyfikatora URI identyfikującego zasób.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | True |
| Akceptowanie symboli wieloznacznych: | False |
-RoleDefinitionId
Identyfikator roli RBAC, która musi być przypisana do podmiotu zabezpieczeń.
| Typ: | Guid |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | True |
| Akceptowanie symboli wieloznacznych: | False |
-RoleDefinitionName
Nazwa roli RBAC, która musi być przypisana do podmiotu zabezpieczeń, np. Czytelnik, Współautor, Administrator sieci wirtualnej itp.
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | True |
| Akceptowanie symboli wieloznacznych: | False |
-Scope
Zakres przypisania roli. W formacie względnego identyfikatora URI. Na przykład "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Jeśli nie zostanie określony, utworzy przypisanie roli na poziomie subskrypcji. Jeśli zostanie określony, powinien on rozpoczynać się od ciągu "/subscriptions/{id}".
| Typ: | String |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | True |
| Akceptowanie symboli wieloznacznych: | False |
-SignInName
Adres e-mail lub główna nazwa użytkownika użytkownika.
| Typ: | String |
| Aliasy: | Email, UserPrincipalName |
| Position: | Named |
| Domyślna wartość: | None |
| Wymagane: | True |
| Akceptowanie danych wejściowych potoku: | True |
| Akceptowanie symboli wieloznacznych: | False |
Dane wejściowe
Dane wyjściowe
Uwagi
Słowa kluczowe: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment