你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

az synapse role assignment

管理 Synapse 的角色分配。

命令

名称 说明 类型 Status
az synapse role assignment create

创建角色分配。

核心 GA
az synapse role assignment delete

删除工作区的角色分配。

核心 GA
az synapse role assignment list

列出角色分配。

核心 GA
az synapse role assignment show

按 ID 获取角色分配。

核心 GA

az synapse role assignment create

创建角色分配。

az synapse role assignment create --role
                                  --workspace-name
                                  [--assignee]
                                  [--assignee-object-id]
                                  [--assignee-principal-type {Group, ServicePrincipal, User}]
                                  [--assignment-id]
                                  [--item]
                                  [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                  [--scope]

示例

使用服务主体名称创建角色分配。

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name

使用用户主体名称创建角色分配。

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee username@contoso.com

使用用户、组或服务主体的 objectId 创建角色分配。

az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee 00000000-0000-0000-0000-000000000000

在范围内创建角色分配。

az synapse role assignment create --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}" --role "Synapse Administrator" --assignee username@contoso.com

在项类型和项名称的组合范围内创建角色分配。

az synapse role assignment create --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName" --role "Synapse Administrator" \
--assignee username@contoso.com

如果你是有权在工作区上管理 Azure RBAC 角色分配但无权管理 Synapse 管理员istrator 的用户,请通过 -roleid 创建角色分类。 原因是,尝试添加“Synapse 管理员istrator”角色时,cmdlet 需要从需要工作区读取权限的角色名称(当前用户没有)获取角色 ID。

az synapse role assignment create \
--workspace-name testsynapseworkspace \
--role "6e4bf58a-b8e1-4cc3-bbf9-d73143322b78" \
--assignee username@contoso.com

必需参数

--role

分配给主体的角色名称/ID。

--workspace-name

工作区名称。

可选参数

--assignee

表示用户或服务主体。 支持的格式:对象 ID、用户登录名称或服务主体名称。

--assignee-object-id

如果权限不足,请使用此参数而不是“--assignee”来绕过图形 API 调用。 此参数仅适用于用户、组、服务主体和托管标识的对象 ID。 对于托管标识,请使用主体 ID。对于服务主体,请使用对象 ID 而不是应用 ID。

--assignee-principal-type --assignee-type

与 --assignee-object-id 一起使用,以避免 AAD Graph 中传播延迟导致的错误。

接受的值: Group, ServicePrincipal, User
--assignment-id

以 guid 格式的自定义角色分配 ID(如果未指定)将随机生成分配 ID。

--item

在工作区中授予访问权限的项。 与 --item-type 结合使用分配范围。

--item-type

在工作区中授予访问权限的项类型。 与 --item 结合使用分配范围。

接受的值: bigDataPools, credentials, integrationRuntimes, linkedServices
--scope

“范围”定义将访问权限应用到的资源或项目。 Synapse 支持分层范围。 较低级别的对象会继承在更高级别的范围授予的权限。 在 Synapse RBAC 中,顶级范围是工作区。 在工作区范围分配角色会向工作区中的所有适用对象授予权限。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az synapse role assignment delete

删除工作区的角色分配。

az synapse role assignment delete --workspace-name
                                  [--assignee]
                                  [--assignee-object-id]
                                  [--ids]
                                  [--item]
                                  [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                  [--role]
                                  [--scope]
                                  [--yes]

示例

按角色和被分配者删除角色分配。

az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name

按角色 ID/名称删除角色分配。

az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator"

按服务主体名称删除角色分配。

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee sp_name

按用户主体名称删除角色分配。

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee username@contoso.com

通过 User、Group 或服务主体的 objectId 删除角色分配。

az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee 00000000-0000-0000-0000-000000000001

按 ID 删除角色分配。

az synapse role assignment delete --workspace-name testsynapseworkspace \
--ids 10000000-0000-0000-0000-10000000-10000000-0000-0000-0000-10000000

按范围删除角色分配。

az synapse role assignment delete --workspace-name testsynapseworkspace \
--scope "workspaces/testsynapseworkspace/linkedServices/testlinkedServices"

必需参数

--workspace-name

工作区名称。

可选参数

--assignee

表示用户或服务主体。 支持的格式:对象 ID、用户登录名称或服务主体名称。

--assignee-object-id

如果权限不足,请使用此参数而不是“--assignee”来绕过图形 API 调用。 此参数仅适用于用户、组、服务主体和托管标识的对象 ID。 对于托管标识,请使用主体 ID。对于服务主体,请使用对象 ID 而不是应用 ID。

--ids

空格分隔的角色分配 ID。 提供 --id 时,不应提供 --role 或 --assignee。

--item

在工作区中授予访问权限的项。 与 --item-type 结合使用分配范围。在执行删除操作之前将 az role assignment 与筛选器条件一起使用,以便清楚地了解将删除哪些分配。

--item-type

在工作区中授予访问权限的项类型。 与 --item 结合使用分配范围。在执行删除操作之前将 az role assignment 与筛选器条件一起使用,以便清楚地了解将删除哪些分配。

接受的值: bigDataPools, credentials, integrationRuntimes, linkedServices
--role

分配给主体的角色名称/ID。

--scope

“范围”定义将访问权限应用到的资源或项目。 Synapse 支持分层范围。 较低级别的对象会继承在更高级别的范围授予的权限。 在 Synapse RBAC 中,顶级范围是工作区。 在执行删除操作之前将 az role assignment 与筛选器条件一起使用,以便清楚地了解将删除哪些分配。

--yes -y

不提示确认。

默认值: False
全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az synapse role assignment list

列出角色分配。

az synapse role assignment list --workspace-name
                                [--assignee]
                                [--assignee-object-id]
                                [--item]
                                [--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
                                [--role]
                                [--scope]

示例

列出角色分配。

az synapse role assignment list --workspace-name testsynapseworkspace

按角色 ID/名称列出角色分配。

az synapse role assignment list --workspace-name testsynapseworkspace \
--role "Synapse Apache Spark Administrator"

按被分配者列出角色分配。

az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee sp_name

按用户、组或服务主体的 objectId 列出角色分配。

az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee-object-id 00000000-0000-0000-0000-000000000000

按范围列出角色分配。

az synapse role assignment list --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}"

按项类型和项名称列出角色分配。

az synapse role assignment list --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName"

必需参数

--workspace-name

工作区名称。

可选参数

--assignee

表示用户或服务主体。 支持的格式:对象 ID、用户登录名称或服务主体名称。

--assignee-object-id

如果权限不足,请使用此参数而不是“--assignee”来绕过图形 API 调用。 此参数仅适用于用户、组、服务主体和托管标识的对象 ID。 对于托管标识,请使用主体 ID。对于服务主体,请使用对象 ID 而不是应用 ID。

--item

在工作区中授予访问权限的项。 与 --item-type 结合使用分配范围。

--item-type

在工作区中授予访问权限的项类型。 与 --item 结合使用分配范围。

接受的值: bigDataPools, credentials, integrationRuntimes, linkedServices
--role

分配给主体的角色名称/ID。

--scope

“范围”定义将访问权限应用到的资源或项目。 Synapse 支持分层范围。 较低级别的对象会继承在更高级别的范围授予的权限。 在 Synapse RBAC 中,顶级范围是工作区。 在工作区范围分配角色会向工作区中的所有适用对象授予权限。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az synapse role assignment show

按 ID 获取角色分配。

az synapse role assignment show --id
                                --workspace-name

示例

按 ID 获取角色分配。

az synapse role assignment show --workspace-name testsynapseworkspace \
--id 00000000-0000-0000-0000-000000000000

必需参数

--id

分配给主体的角色的 ID。

--workspace-name

工作区名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。